Andreas Janssen: Viren, Hacker, Firewalls œ
Transcription
Andreas Janssen: Viren, Hacker, Firewalls œ
© Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag 2 Hinweise zum Lesen dieser PDF-Datei Bildqualität Wir versuchen die Dateigröße zu reduzieren, um die Downloadzeit zu verkürzen. Daher ist die Bildqualität in dieser Download-Datei nicht in allen Fällen optimal. Im Druck tritt dieses Problem nicht auf. Acrobat Reader: Wie komme ich klar? F5/F6 öffnet/schließt die Ansicht Lesezeichen Strg+F sucht Im Menü Ansicht stellst du ein, wie die Datei angezeigt wird STRG+0 = Ganze Seite STRG+1 = Originalgröße STRG+2 = Fensterbreite Im selben Menü kannst du folgendes einstellen: Einzelne Seite, Fortlaufend oder Fortlaufend - Doppelseiten ... Probiere es aus, um die Unterschiede zu sehen. Navigation Pfeil Links/Rechts: eine Seite vor/zurück Alt+ Pfeil Links/Rechts: Wie im Browser: Vorwärts/Zurück Strg++ vergrößert und Strg+– verkleinert Bestellung und Vertrieb für den Buchhandel KnowWare-Vertrieb, Postfach 3920, D-49029 Osnabrück Tel.: +49 (0)541 33145-20 Fax: +49 (0)541 33145-33 bestellung@knowware.de www.knowware.de Autoren gesucht Der KnowWare-Verlag sucht ständig neue Autoren. dass dir unter den Fingern brennt? - ein Thema, ten leicht verständlich erklären kannst? Schicke uns einfach ein paar Beispielseiten und haltsverzeichnis an folgende Adresse: lektorat@knowware.de Wir werden uns deinen Vorschlag ansehen und dir lich eine Antwort senden. Hast du ein Thema, das du anderen Leuein vorläufiges In- so schnell wie mög- www.knowware.de © KnowWare.de KnowWare 3 Inhaltsverzeichnis Dialer ................................................................... 47 Vorwort ..............................................................4 Viren, Würmer und Trojaner – eine Unterscheidung ................................................5 Was sind Dialer?....................................................... 47 Wo werden Dialer eingesetzt?.................................. 48 Wie funktionieren Webdialer?................................... 48 Beispiel für einen Dialer............................................ 48 Und die unseriösen Anbieter? .................................. 48 Wie unterscheide ich seriöse und unseriöse Anbieter? .................................................................. 48 Weitere Tricks........................................................... 49 Was stellen unseriöse Dialer noch an? .................... 49 Schutz vor 0190/0900-Dialern .................................. 50 Was tun, wenn es mich erwischt hat? ...................... 51 Viren ........................................................................... 5 Würmer ....................................................................... 7 Trojaner ...................................................................... 7 Hoaxes ....................................................................... 8 Spyware...................................................................... 9 Wissenswertes über Viren.............................10 Verbreitung ............................................................... 10 Schäden ................................................................... 10 Geschichte der Viren ................................................ 10 Berühmte Viren......................................................... 13 Wie kommt ein Virus auf meinen Rechner? 16 Welche Dateien sind betroffen? ............................... 16 ICQ ...................................................................... 52 Tauschbörsen...................................................... 52 Wie mache ich mein Betriebssystem sicher? .............................................................53 Ports ......................................................................... 53 Windows Scripting Host............................................ 53 Datei- und Druckerfreigabe....................................... 54 Dateiendungen anzeigen.......................................... 55 Was tue ich gegen Viren?..............................18 Wie schütze ich mich vor Viren? .............................. 18 Sind E-Mails sicher? ......................................20 Goldene Regeln für E-Mails...........................21 Wie mache ich meinen Rechner sicher?......22 Virenscanner........................................................22 Hacker und das Internet – ein kleiner Exkurs..............................................................26 Hacker, Cracker, Tool-Kids..................................28 Gefahren für deine Privatsphäre...................56 Spyware.................................................................... 56 Web Bugs ................................................................. 56 Zusammenfassung.........................................57 War’s das jetzt? ..............................................58 Rechtliche Situation .......................................59 Die Gesetze .............................................................. 59 Was heißt das genau?.............................................. 59 Und wenn ich das Opfer bin? ................................... 60 Techniken des Hackens.................................29 Phishing.................................................................... 30 Wie arbeitet ein Hacker? .......................................... 30 Wie mache ich ein Passwort sicher?........................ 31 Adressen im WWW.........................................60 Firewalls.................................................................... 60 Browser..................................................................... 60 Sicherheitsinfo .......................................................... 60 Wer ist der Angreifer?............................................... 60 Andere KnowWare-Hefte zum Thema...................... 60 Wichtige Infoseiten ................................................... 60 Firewalls ..........................................................33 Wie kann ich mir das vorstellen?.............................. 33 Protokolle.................................................................. 33 Ports ......................................................................... 34 … und wozu das Ganze? ......................................... 34 Firewalls I – die Hardware-Lösung .....................35 Proxy-System ........................................................... 35 Firewalls II – die Software-Lösung ......................35 Welche Firewall sollte ich benutzen?...........36 ZoneAlarm ................................................................ 36 Installation ................................................................ 36 Einstellungen ............................................................ 37 Der Umgang mit Firewalls ........................................ 40 Weitere Gefahren rund ums Internet ............41 Browser................................................................41 Wo ändere ich die Einstellungen .............................. 41 Sicherheitszonen ...................................................... 42 Sicherheitsstufen ...................................................... 42 Erweiterte Einstellungen........................................... 44 Exkurs: Digitale Zertifikate........................................ 44 Sicherung der Privatsphäre ...................................... 44 Firefox..................................................................45 Einstellungen ............................................................ 46 Dokumentieren ....................................................47 Glossar ............................................................61 120 interessante KnowWare-Titel! KnowWare bringt jeden Monat mehrere Computerhefte auf den Markt, von A wie Access über H wie Homepage und P wie Programmierung bis W wie Word oder X wie XML. Bitte blättere zum Bestellschein auf Seite 71 oder schaue dich auf www.knowware.de um! Hier eine Auswahl: • • • • • Sicherheit im Internet Diagramme mit Excel 2003/2 Word für Profis Office 2003 für Einsteiger Linux für Poweruser © Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag 4 Vorwort Vorwort Als ich „Viren, Hacker, Firewalls – Sicherheit am PC“ im Jahr 2002 schrieb, ahnte ich zweierlei nicht: • Ich wusste nicht, wie groß die Nachfrage nach einem solchen Heft sein würde und • ich hatte keine Ahnung, was noch auf uns User zukommen sollte. 2002 – die Angriffe auf das Internet fingen gerade erst an. Melissa und „I love you“ hatten uns gezeigt, wie verwundbar ein internationales Netz ist. Die Kommerzialisierung des Internets machte es für viele „Hacker“ interessant, ihre Fähigkeiten und Kenntnisse zu erproben und zu beweisen. Aus den Hobby-Hackern der Anfangszeit wurden in der Zwischenzeit kriminelle Vereinigungen, die Rechner von Unternehmen nach geheimen Informationen durchsuchen, Server von Firmen angreifen und als Geiseln nehmen. Im Zusammenhang mit den Kriegen in Afghanistan und Irak kam es zu vermehrten Angriffen gegen amerikanische Websites. Zusätzlich wurden neue Wege gefunden, das Internet für kriminelle Zwecke zu missbrauchen. Wer die damalige Situation mit der heutigen vergleicht, wird feststellen, dass sich vieles geändert hat. Nicht nur die Zahl und der Umfang von Angriffen im Internet sind angewachsen – heute schlagen Regierungen immer heftiger zurück. Die Strafen bei Vergehen im Zusammenhang mit dem Internet wurden wesentlich verschärft – ebenso die Überwachung. Anonymität im Internet gibt es nicht mehr. Und dennoch: In vielen Firmen, und noch mehr bei Privatleuten, ist Sicherheit offenbar nicht so wichtig. Viele Angriffe durch Viren, Trojaner, Würmer und Hacker könnten durch ein vernünftiges Maß an Vorsorge verhindert werden. Leider wird dies immer mehr vernachlässigt. Um so wichtiger ist es, informiert zu sein. Und genau da soll dieses Heft ansetzen: Es soll dir das Wissen vermitteln, welche Gefahren in der weltweiten Vernetzung durch das Internet auftauchen können. Dazu musst du kein Admin sein, kein Computercrack – ich will versuchen, das Ganze möglichst einfach zu erklären, sodass auch totale Anfänger etwas mit diesem Heft anfangen können. Es geht um einen sicheren Umgang mit Dateien, E-Mails und dem Internet – nicht mehr und nicht weniger. Schwerpunkt dieses Heftes sind natürlich Viren, Trojaner und Würmer – was das ist, erfährst du im ersten Teil des Heftes. Darüber hinaus werde ich aber auch auf die Leute hinter diesen Schadensprogrammen eingehen und aufzeigen, wie man sich gegen ihre Angriffe wehrt. Und natürlich geht es auch darum, wie du deinen Rechner sicherer machen kannst, um dich vor Viren und Hackern zu schützen. Der Autor Mittlerweile bin ich 40 Jahre alt und arbeite in einer kleinen Softwarefirma. Noch immer ist Computersicherheit eines der interessantesten Themen für mich. Seit ich 1995 selber von einem enormen Datenverlust durch einen Virus betroffen war, beschäftige ich mich mit diesem Thema. Wie alle KnowWare-Autoren stehe ich für Rückfragen per E-Mail zur Verfügung. Fragen kannst du an janssenandreas@yahoo.de stellen. Viel Spaß beim Lesen dieses Hefts und wenig Ärger mit Viren, Hackern und Firewalls wünscht Andreas © Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag Viren, Würmer und Trojaner – eine Unterscheidung 5 Viren, Würmer und Trojaner – eine Unterscheidung Im alltäglichen Umgang werden alle Programme, die einen Schaden auf Rechnern hervorrufen, als „Viren“ bezeichnet – auch ich halte mich in diesem Heft an diese Gepflogenheit. Tatsächlich handelt es sich aber um unterschiedliche „Schadprogramme“. Wir unterscheiden zwischen Viren, Würmern, Trojanern und Hoaxes. Worin aber unterscheiden sich diese? Viren Ein Virus ist in erster Linie ein Programm. Als Virus wird es bezeichnet, weil es in der Lage ist, sich selber zu vermehren, sobald es gestartet wird. In der Regel verursachen Viren einen enormen Schaden auf dem betroffenen System. Es gibt verschiedene Arten von Viren: Programmviren, Bootsektorviren, Filesystem-Viren, BiosViren, Makroviren, polymorphe Viren, StealthViren, Hybrid-Viren, Logische Bomben, Antiviren-Viren, Retroviren und Scriptviren. Programmviren Bei Programm- oder Dateiviren handelt es sich um Viren, die sich an ein Programm anhängen. Wird das Programm gestartet, dann wird auch das Virus aktiviert – es hängt sich an andere Programme an, löscht Dateien, macht den Rechner instabil, führt irgendeine Aktion auf dem Rechner aus oder verändert Systemeinstellungen. Im Februar 2000 tauchten Versionen des beliebten Spieles „Moorhuhn“ auf, die mit Viren verseucht waren. Durch die weite Verbreitung des Spieles wurden diese Viren eine ernste Gefahr. Die Anwender wussten in der Regel nicht, dass ihr Spiel ein Virus enthielt, zumal ein Zusammenhang zwischen dem Spiel und den Viren nicht sofort ersichtlich war. Einige Beispiele: Parity-Boot Systemabstürze Form harmlos Tremor Abstürze, Festplatten-Probleme Ripper Speichern falscher Bytes Tequila harmlos Michelangelo formatiert Festplatte am 6. März AntiCMOS ändert BIOS-Einstellungen Delwin 1759 verhindert Windows-Start Bootsektorviren Jetzt geht es kurz in die Technik – keine Angst, das ist noch alles recht harmlos. Jeder Datenträger, ob Festplatte, Diskette oder CD, enthält einen so genannten BOOTSEKTOR (Master-Boot-Record, MBR). Hier finden sich Programmteile, die schon beim Zugriff auf den Datenträger benötigt werden – in der Regel beim Systemstart. Der Bootsektor enthält Namen und Version des Betriebssystems, Größe und Aufteilung der Festplatte und das Ladeprogramm Ein Virus, das sich hier einnistet, wird also schon beim Hochfahren des PCs aktiv – es ist nicht an irgendein Programm gekoppelt und ist in der Regel auch nicht als Datei zu erkennen. Bootsektorviren werden am häufigsten durch infizierte Disketten und CD-ROMs verbreitet. Früher waren sie die meistverbreitete Virenart – heute haben sie diesen zweifelhaften Ruf an die Makroviren verloren. Filesystem-Viren Für Nutzer von DOS, Win95, Win98 und WinNT ist dies ein sehr gefährlicher Virustyp. Diese Systeme arbeiten mit einer so genannten FILE ALLOCATION TABLE oder FAT. Hier ist vermerkt, in welchem Sektor und Cluster welche Datei liegt. Ist diese FAT beschädigt, dann findet das Betriebssystem die benötigten Programme nicht. Und diese Viren beschädigen eben diese FAT. Bios-Viren Lange Zeit galt es als sicher, dass Viren die Hardware nicht angreifen können. Dies stimmt auch heute noch im Wesentlichen – allerdings können sie indirekt die Hardware unbrauchbar machen, wenn sie das BIOS angreifen. Das BIOS ist die erste Software, die nach dem Einschalten eines Computers gestartet wird. Es ist also ein wesentlicher Bestandteil eines Computers. Ohne das BIOS ist ein Computer absolut unbrauchbar. Das BIOS ist auf einem speziellen Chip auf dem Motherboard gespeichert, wo diese Daten auch erhalten bleiben, wenn die Stromzufuhr unterbrochen ist. Damit wird gewährleistet, dass das BIOS jederzeit zur Verfügung steht. © Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag 6 Viren, Würmer und Trojaner – eine Unterscheidung Auf vielen Computern kann man mittlerweile das BIOS mit Hilfe von Software des BIOS-Herstellers aktualisieren. Eine neue Gruppe von Viren, zu denen unter anderem W95CIH.HTM gehört, können es jedoch so beschädigen, dass der PC nicht mehr booten kann. Kann der BIOS-Chip dann nicht ersetzt werden – einige BIOS-Chips sind verlötet –, muss sogar das Motherboard des Computers ausgetauscht werden. Das wird teuer! Makroviren … gibt es, seit es eine eigene Makrosprache (z. B. Visual Basic for Applications) gibt. Diese Makrosprache ist eigentlich eine geniale Sache – dient sie doch dazu, Abläufe über so genannte Makros zu automatisieren. Die Kehrseite der Medaille: Leider können so auch schädliche Zugriffe automatisiert werden. Makroviren sind in der Regel mit Dateien verbunden, etwa mit *.DOC-Dateien. Am beliebtesten sind dabei Word- und Excel-Dateien, da diese Programme am weitesten verbreitet sind. Das heißt jedoch nicht, dass nur diese Programme betroffen sind! In der Regel kann jede Datei, die Makros enthalten kann, auch Viren enthalten. Makroviren sind die meistverbreiteten Viren. Da sie einfach zu programmieren sind, ist es auch für Anfänger kein Problem, selber ein solches Virus zu schreiben. Polymorphe oder Crypto-Viren … sind Viren, die ihren Code zur Aktivierung der Schadensfähigkeit über einen speziellen Algorithmus entschlüsseln. Bei ihrer Verbreitung ändern sie diesen Code jedesmal leicht. So soll erreicht werden, dass die gängigen AntivirenProgramme diese Viren nicht so schnell erkennen. Wegen dieser Änderung werden sie auch als CRYPTO-VIREN bezeichnet. Polymorphe Viren sind die kommende Gefahr für alle Rechnersysteme. Da ihre Programmierung jedoch nicht ganz einfach ist, spielen sie zur Zeit noch keine so große Rolle Stealth-Viren … sind die Tarnkappenbomber unter den Viren. Sie versuchen die gängige Antiviren-Software zu täuschen, indem sie sich unter anderem Namen in Verzeichnisse eintragen. Dabei können sie auch bestehende Namen übernehmen und nur die Dateinamenserweiterung ändern. Hier wird eine Eigenheit der Microsoft-Betriebssysteme genutzt – also mal wieder ein kurzer Ausflug in die Technik: Anhand der Dateinamenserweiterung erkennt das Betriebssystem, mit welchem Programm eine Datei geöffnet werden soll. So kommt es dazu, dass dein Rechner, wenn du auf eine *.HLP-Datei im Explorer klickst, sofort die Windows-Hilfe hochfährt, um damit diese Datei zu öffnen. Einige Dateinamenserweiterungen bezeichnen ausführbare Dateien. Die wesentlichen sind *.COM, *.EXE und *.BAT (es gibt noch weitere, aber dazu später mehr). Die gängigen Betriebssysteme (DOS, Windows) geben bei sonstiger Namensgleichheit den *.COM-Dateien den Vorzug. Hast du also eine Datei NOTEPAD.COM und eine Datei NOTEPAD.EXE auf deinem Rechner und gibst über START|AUSFÜHREN nur NOTEPAD ein, wird dein Rechner die Datei NOTEPAD.COM ausführen. Es gibt primitive Stealth-Viren, die sich diese Eigenart zu nutze machen, indem sie sich nach einer schon vorhandenen Datei benennen. Dem Virenscanner versuchen sie vorzugaukeln, es handele sich bei ihnen um die „echte“ Datei. Hybrid-Viren … sind eine Mischung aus Bootsektorvirus und Programmvirus. Auf diese Weise versuchen sie, gleich doppelt zuzuschlagen: Zum einen infizieren sie den Bootsektor, zum anderen greifen sie auf Programmdateien zu. Logische Bomben … sind die „Schläfer“ unter den Viren. Sie werden nicht sofort aktiv, wenn ein Programm ausgeführt wird, sondern erst dann, wenn ein bestimmtes Ereignis eintritt – z. B. ein bestimmter Programmabruf oder ein Datum, wie beim berüchtigten HONECKER-Virus, der am 13. August Erich Honecker auf den Bildschirm brachte, die Hymne der DDR abspielte und dann Dateien löschte. Antiviren-Viren … sind Programme, die ursprünglich geschrieben wurden, um Viren zu bekämpfen. In diesem Sinne wirken sie selber als Viren. Von dieser Technik ist man mittlerweile abgekommen – einzelne Exemplare dieser Spezies kursieren auch heute noch. Sie richten normalerweise jedoch keinen Schaden an. © Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag Viren, Würmer und Trojaner – eine Unterscheidung Retroviren … sind Viren, die darauf abzielen, AntivirenProgramme und Firewalls anzugreifen und außer Gefecht zu setzen. Zum Teil sollen so Türen für andere Viren geöffnet werden, zum Teil enthalten diese Viren selber Schadensroutinen. Ihre Verbreitung ist zur Zeit noch minimal, sie können jedoch eine wirkliche Gefahr werden. Script-Viren … werden in WordBasic-, VisualBasic-, JavaScript-Module und Java-Script einprogrammiert, die dann in Office-Dokumente und HTML-Webseiten eingebettet werden können. Sie verbreiten sich durch ein Windows-eigenes Tool – die Windows Script-Engine. Es besteht eine enge Verwandtschaft zu den Makroviren. Würmer … sind eigenständige Programme, die sich ausschließlich über Netzwerke verbreiten. Solch ein Netzwerk ist z. B. das Internet. Würmer dringen über bekannte Schwachstellen etwa des Mailprogramms (meistens Outlook), des Browsers (hier vor allem der Internet Explorer, aber auch andere Browser) und des Betriebssystems ein, analysieren das Netzwerk, um neue Ziele zu finden, und verbreiten sich dann. Würmer sind zur Zeit die verbreitetste Gefahr. Das hängt weniger damit zusammen, dass die Microsoft-Programme so schlecht sind – was sie nämlich nicht sind –, sondern eher mit der einheitlichen Programmstruktur des Internets: Die meisten User benutzen Software von Microsoft, daher ist ein Virus, das diese Programme benutzt, natürlich am effektivsten. Das anfänglich erwähnte „I Love You“-„Virus“ war also kein Virus, sondern ein Wurm. Er kam als Attachment einer E-Mail an. Klickte man den Anhang an, suchte er als erstes nach dem Adressbuch von Outlook. Dann versendete er sich als Mail vom Empfänger an alle dort gespeicherten Adressen – mit dem Erfolg, dass dann andere User eine Mail mit diesem Attachment erhielten, darauf klickten usw. Der Schaden entstand durch die enorme Anzahl von Mails, die versendet wurden. Wer schon seit Jahren im Internet und per EMail aktiv ist, der hat schnell ein paar hundert Adressen zusammen. Stell dir vor, jeder Bürger Deutschlands versendet mal eben 50 Postkarten – da brechen die Briefträ- 7 ger schnell zusammen. Genauso brachen die Mail-Server in vielen großen Firmen zusammen, die Rechner, die für den E-Mail-Verkehr zuständig sind – der Verkehr war einfach zu hoch. Trojaner – auch „trojanische Pferde“ genannt – verhalten sich wie ihr berühmtes Vorbild: Du erhältst – meist aus dem Internet – ein Programm, das du schon immer haben wolltest – und weißt nicht, dass sich hier ein Tool verbirgt, das den Zugriff auf deinen Rechner ermöglicht. Trojaner arbeiten auf zweierlei Weise: Entweder durchsuchen sie den betroffenen Rechner auf interessante Informationen hin (z. B. KreditkartenDaten, Zugangscode z. B. für den Internetprovider etc.) und senden diese Informationen bei der nächsten Internetverbindung an den jeweiligen Empfänger oder erlauben den Zugriff von außen. Dabei geben sie dem Zugreifenden die völlige Kontrolle über den jeweiligen Rechner – dieser kann Daten lesen, löschen, ändern, die Tastatur blockieren … Die bekanntesten Trojaner sind BACK ORIFICE (Hintertür), NETBUS und SUBSEVEN. Ursprünglich waren viele dieser Programme als Fernwartungs-Systeme gedacht, sodass man zur Wartung von außen auf einen Rechner zugreifen kann, um Schäden zu beseitigen. Aber: Alles, was gut ist, kann auch zum Bösen missbraucht werden. Trojaner sind derzeit mit die größte Gefahr für deinen Rechner und das Internet. Sie erlauben einem Angreifer, deinen Rechner z. B. für Mailbombing-Angriffe, für Spam oder andere Zwecke zu benutzen – wie z. B. im folgenden Artikel. Autor eines Webcam-Trojaners verhaftet Nach Angaben von Sophos, Hersteller von Antiviren-Software, hat die spanische Polizei den mutmaßlichen Autor eines Trojaners festgenommen, der Systeme von Anwendern ausspionierte und über angeschlossene Webcams heimlich Aufnahmen machte. Angeblich soll der Schädling, den der 37-jährige Programmierer über Filesharing-Netze verbreitete, schon seit 2003 kursieren und seinerzeit von keinem Virenscanner erkannt worden sein. Aufgefallen war einem Anwender allerdings das merkwürdige Verhalten seines PCs, und er meldete dies den Behörden. Seit Juli 2004 untersuchen die Ermittlungsbehörden in diesem Fall. © Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag 8 Viren, Würmer und Trojaner – eine Unterscheidung Bislang ist weder die Identität des Autors – außer den Initialen J.A.S. – noch der Name des Trojaners bekannt. Allerdings soll der Schädling weltweit schon mehrere tausend PCs befallen haben – er tarnt sich als Musik- oder Bilddatei. Auf infizierten Systemen protokolliert er Tastatureingaben und sendet Informationen über Online-Banking ins Netz. J.A.S. soll bei seiner Festnahme gerade Anwender über deren Webcams beobachtet haben. Graham Cluley, Senior Technology Consultant bei Sophos, weist darauf hin, dass aus Platzgründen die PCs vieler Heimanwender im Schlafzimmer stehen. Beim Verdacht, dass der PC befallen sein könnte, solle man die WebcamVerbindung lieber abziehen, rät Cluley. Quelle: http://www.heise.de Eine Abart der Trojaner sind die KEYLOGGER. Diese Programme zeichnen die Tastatureingaben auf dem Rechner auf und geben sie an den jeweiligen Empfänger weiter. So können mit Leichtigkeit Texte, die du schreibst, von anderen gelesen, Passwörter ausgeschnüffelt werden usw. Der Einsatz von Keyloggern ist zum Politikum geworden, seit das FBI den Einsatz des Programms MAGIC LANTERN erwägt, um so Kriminelle zu überwachen und eventuelle Terroranschläge im Voraus zu vereiteln. Hier wurde versucht, die Hersteller von Antiviren-Software dazu zu bringen, dass ihre Programme das Spionagetool MAGIC LANTERN ignorieren. Die wichtigsten Hersteller von Antiviren-Software haben das bereits abgelehnt. Hoaxes … sind eigentlich nichts weiter als das elektronische Äquivalent zu Kettenbriefen. Das reicht von einer virtuellen Schneeballschlacht, die ja noch recht spaßig ist, bis hin zu Warnungen wie der hier vor dem Virus BAD TIMES: Viruswarnung Wenn Sie eine E-Mail mit dem Titel "Bad Times" erhalten, löschen Sie diese sofort, ohne sie zu lesen. Es handelt sich hierbei um den bislang gefährlichsten e-Mail-Virus. Er wird Ihre Festplatte formatieren. Und nicht nur die, sondern alle Disketten, die auch nur in der Nähe Ihres PCs liegen. Er wird das Thermostat Ihres Kühlschranks so einstellen, dass Ihre Eisvorräte schmelzen und die Milch sauer wird. Er wird die Magnetstreifen auf Ihren Kreditkarten entmagnetisieren, die Geheimnummer Ihrer EC-Karte umprogrammieren, die Spurlage Ihres Videorecorders verstellen und Subraumschwingungen dazu verwenden, jede CD, die Sie sich anhören, zu zerkratzen. Er wird Ihrem Ex-Freund/der Ex-Freundin Ihre neue Telefonnummer mitteilen. Er wird Frostschutzmittel in Ihr Aquarium schütten. Er wird all Ihr Bier austrinken und Ihre schmutzigen Socken auf dem Wohnzimmertisch platzieren, wenn Sie Besuch bekommen. Er wird Ihre Autoschlüssel verstecken, wenn Sie verschlafen haben und Ihr Autoradio stören, damit Sie im Stau nur statisches Rauschen hören. Er wird Ihr Shampoo mit Zahnpasta und Ihre Zahnpasta mit Schuhcreme vertauschen, während er sich mit Ihrem Freund/Ihrer Freundin hinter Ihrem Rücken trifft und die gemeinsame Nacht im Hotel auf Ihre Kreditkarte bucht. Bad Times verursacht juckende Hautrötungen. Er wird den Toilettendeckel oben lassen und den Fön gefährlich nahe an eine gefüllte Badewanne platzieren. Er ist hinterhältig und subtil. Er ist gefährlich und schrecklich. Und außerdem ist er lila. Soweit ist das noch spaßig. Leider sehen solche Hoaxes jedoch manchmal auch sehr echt aus: Hi Leute, ich wende mich an Euch, weil ich ziemlich verzweifelt bin. Ich hoffe, Ihr könnt mir und meiner Freundin helfen, und lest diesen Brief! Das Problem ist, dass meine Freundin an Leukämie erkrankt ist. Es hat sich herausgestellt, dass Sie nur noch wenige Wochen zu Leben hat. Aus diesem Grund seit Ihr meine letzte Chance Ihr zu helfen. Wir benötigen dringend eine/n Spender/in mit der Blutgruppe "AB negativ"!!!! der/die bereit wären, ggf. Knochenmark zu Spenden. Dies ist für Euch nur ein kleiner ärztlicher Eingriff, kann aber meiner Freundin zu Leben verhelfen. Wenn jemand diese Blutgruppe hat, möchte er/sie sich doch bitte mit mir in Verbindung setzen. Alles weitere besprechen wir dann. Sendet bitte diesen Brief an alle, die Ihr kennt!!! Fragt in Eurem Bekanntenkreis nach !!!!! Ich danke Euch für Eure Hilfe!!! Gruß Toshiba65@aol.com (Quelle: http://www.tu-berlin.de/www/software/hoax/ knochenmarkspendetxt.shtml) © Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag Viren, Würmer und Trojaner – eine Unterscheidung An dieser und ähnlichen Meldungen ist in der Regel kein wahres Wort! Ein Hoax sieht eher harmlos aus, da er keine Schadensroutine enthält. Dennoch hat er mehrere negative Folgen: • Zum einen sorgt er für Unsicherheit und Panik, obwohl für Panik nun wirklich kein Grund vorhanden ist. • Zum Zweiten sorgt er für vermehrten Mailverkehr und kann unter Umständen zu Problemen auf dem Mail-Server führen. In unserer Firma gab es erst vor kurzem einen solchen Fall: Durch eine Mail mit der berühmten „Virtuellen Schneeballschlacht“ kam es dazu, dass innerhalb kürzester Zeit mehrere tausend E-Mails versendet wurden. • Zum Dritten führen solche E-Mails dazu, dass echte Virenwarnungen nicht mehr ernst genommen werden. • Schließlich aber untergraben diese Meldungen einen der wichtigsten Bestandteile des Internets – das Vertrauen zueinander. Die Leukämie-Mail spielt mit den Ängsten und mit der Hilfsbereitschaft der Menschen untereinander. Eine eigentlich gute Sache (Hilfe per Internet) wird dadurch faktisch unmöglich gemacht. Einen Hoax erkennst du an folgenden Eigenarten: • Der „Betreff“ (Betreffzeile) ist häufig „Viren Warnung“ oder „Virus-Warning“, aber eben auch Hilfe-Anfragen oder ähnliches. • Der Empfänger soll die Mail an alle seine Bekannten weiterverbreiten. • Bei Virenwarnungen wird die Wirkung als äußerst gefährlich dargestellt. Zum Teil werden Dinge behauptet, die ein Virus nicht kann, wie z. B. Hardware beschädigen, externe Disketten formatieren usw. • Die Mail kommt in der Regel angeblich von einer sehr bekannten Firma, einer Hilfsorganisation oder Ähnlichem. Als Quellen erscheinen oft Microsoft, IBM oder AOL, manchmal auch Hersteller von Antiviren-Software, Krankenhäuser etc. • Als Datum der Warnung oder der Anfrage wird „letzten Freitag“, „gestern“ oder „heute morgen“ angegeben – ohne ein spezifisches Datum. Wenn solch ein Kettenbrief also schon 9 länger unterwegs ist (in der Regel tauchen solche Briefe über Monate immer wieder auf), dann ist eine solche Angabe natürlich effektiver. • Die Warnung wird mehrfach wiederholt, durch Großbuchstaben dringlich gemacht und immer wieder betont. Oops, da habe ich oben den Begriff „Kettenbrief“ erwähnt. Und genau so wie diese Kettenbriefe funktionieren die Hoaxes auch – nach dem Schneeballprinzip: Ich sende den Kettenbrief an 10 Leute, von denen jeder wieder im Durchschnitt 10 Leute anmailt … Spyware Eine weitere Variante von Trojanern und Viren ist die so genannte Spyware. Sie kommt oft mit seriösen Programmen – selbst mit Betriebssystemen. So enthält Windows XP das SpywareProgramm „Alexa“. Spyware soll z. B. Informationen über das Surfverhalten eines Nutzers an den Inhaber der Spyware weitergeben, über eingesetzte Programme oder – in Extremfällen – sogar über gespeicherte Dateien. Nichts und niemand ist wirklich sicher, wie der folgende Bericht belegt: Mailinglisten-Server des BSI verschickte Wurm Durch eine Panne wurde über eine CERTMailingliste des Bundesamtes für Sicherheit in der Informationstechnik (BSI) am gestrigen Montagabend der Mass-Mailing-Wurm Sober.L verschickt. Nach Angaben von BSI-Sprecher Michael Dickopf gelangte der Wurm während Wartungsarbeiten ab 18:30 Uhr auf den Server. Dieser sei eigentlich nur für den Versand von Mails konfiguriert und nicht für den Empfang von außen. Während eines kurzen Zeitraumes nahm er aber doch Mails von außen entgegen, die mit dem kurz zuvor aufgetauchten Sober.L infiziert waren. Da zu diesem Zeitpunkt für die auf dem Server mit der Mailingliste eingesetzten Virenscanner von Symantec und Trend Micro noch keine Signaturen verfügbar waren, blieb der Schädling unerkannt. Quelle: http://www.heise.de/newsticker/meldung/57217 © Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag 10 Wissenswertes über Viren Wissenswertes über Viren Verbreitung Welche Virenart ist wie weit verbreitet? Das ist eine häufige Frage, die in meinen Schulungen gestellt wird. Hier eine Statistik vom BSI (Bundesamt für Sicherheit in der Informationstechnologie) für das 1. Halbjahr 2001: Würmer Makro-Viren Bootsektor-Viren: Trojaner Programmviren 71% 13% 11% 3% 2% Mittlerweile liegen die Wurm- und Trojanerangriffe bei ca. 95% aller Angriffe. Von Viren, Würmern und Trojanern gibt es bislang über 100.000 Varianten, davon jedoch viele nur im Labor. Schäden Welche Schäden werden durch Viren verursacht? 2004 war das bislang schlimmste Virenjahr in der Geschichte der Computer – sowohl was die Zahl der Viren anging als auch die verursachten Schäden und neue Technologien. Im Schnitt tauchten bis zu zehn neue Viren pro Tag auf. Insgesamt sind heute rund 100.000 Viren bekannt. Davon existieren die meisten allerdings nur in den Labors der Antiviren-SoftwareHersteller, doch ca. 10% sind in freier Wildbahn aufgetaucht. Allein für europäische Unternehmen belief sich der Gesamtschaden durch Viren, Würmer und Trojaner im Jahr 2003 auf 22 Milliarden Euro (PC Magazin News). Und die Angriffe steigern sich von Jahr zu Jahr: 400 Prozent mehr Schäden durch Viren 20.09.2004 Laut neuen Studien sind die Probleme durch Viren und Würmer im ersten Halbjahr 2004 um 400 Prozent gestiegen; in der Schweiz ist jeder zweite User betroffen. Laut einem heute veröffentlichten Report von Symantec hatten rund 40 Prozent der weltgrößten Konzerne im ersten Halbjahr 2004 IT-Sicherheitsprobleme mit Viren und Würmern. Dies bedeutet eine Zunahme von über 400 Prozent gegenüber dem Vorjahreszeitraum. Hauptziel der Angreifer waren E-Commerce-Systeme mit einem Anteil von 16 Prozent. Großes Angriffspotential (82 Prozent) bieten die Sicherheitslücken von Web-Applikationen, welche von den Viren und Würmern sehr einfach auszunutzen seien. Experten zufolge könnten sich neue Typen der Parasiten zudem vermehrt gegen das freie Betriebssystem Linux richten. Auch in der Schweiz verursachen Viren und Würmer nach wie vor große Schäden. Nach einer Studie von Bluewin gab jeder zweite Befragte Internet-User an, in den letzten sechs Monaten durch Viren Schaden erlitten zu haben. Der Anteil der Softwareschäden lag bei 62 Prozent, derjenige der Datenverluste bei 37 Prozent. Als sinnvollste Schutzmaßnahmen betrachten 91 Prozent die Nutzung von Anti-Viren-Programmen und die Bereitschaft, Spam-Filter und Firewall zu installieren. Quelle: Infoseek.ch Geschichte der Viren Für die, die es interessiert, folgt hier eine kurze Geschichte der Viren. 1949 • Der Mathematiker John von Neumann stellt theoretische Überlegungen über selbständige Reproduktion von Computerprogrammen an. 50er Jahre • Bell Labs entwickeln ein experimentelles Spiel, in dem die Spieler gegenseitig ihre Computer mit Programmen angreifen, um auf dem gegnerischen Rechner einen Schaden zu verursachen. 1975 • John Brunner, Autor von Science-FictionRomanen, entwickelt die Idee von einem „Wurm“, der sich in Netzwerken verbreitet. 1982 • Apple-Computerviren werden in „freier Wildbahn“ gefunden. • Jon Hepps und John Shock von Xerox PARC generieren für den internen Gebrauch Würmer für verteilte Rechenoperationen. Diese geraten außer Kontrolle, und viele Systeme müssen heruntergefahren werden. © Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag Wissenswertes über Viren 1983 • Fred Cohen definiert den Begriff „Computervirus“ formal. 1986 • Das erste PC-Virus wird geschrieben. BRAIN stammt aus Pakistan. Es ist ein Boot-Virus und benutzt Tarntechniken. • Das erste Datei-Virus wird entdeckt. Es heißt VIRDEM und stammt aus Deutschland. 1987 • BRAIN wird in freier Wildbahn gesichtet, an der Universität von Delaware, USA. • Das LEHIGH-Virus wird in den USA entdeckt. Es ist das erste Virus, das die COMMAND.COM infiziert. • Der Wurm CHRISTMAS EXEC verbreitet sich auf IBM VM/CMS-Systemen. Obwohl dieser Wurm auf menschliche Mithilfe angewiesen ist, erzwingt er das Abschalten vieler Rechner. • Das JERUSALEM-Virus ist das erste speicherresidente Virus. • Das erste Bootsektorvirus, das STONED-Virus, wird von einem Studenten der Universität von Wellington geschrieben. 1988 • Das erste Antivirus-Virus wird geschrieben. Es erkennt und entfernt das BRAIN-Virus. • November: Robert Morris, 22, startet den INTERNET WORM. Er befällt 6000 Computer, das sind 10% aller Computer im Internet. Morris wird zu drei Jahren auf Bewährung, 400 Stunden gemeinnütziger Arbeit und 10.000 US$ Geldstrafe verurteilt. • CASCADE wird in Deutschland entdeckt. Es wird zum ersten selbstverschlüsselnden Virus. 1989 • Das Virus „Dark Avenger.1800“ entsteht. Es ist das erste schnell infizierende Virus. • Aus Haifa, Israel, wird die Entdeckung des Virus FRODO berichtet. FRODO ist das erste Stealth-Virus, das Dateien infiziert. 1990 • In den USA finden sich polymorphe Viren, darunter V2PX, VIRUS-90 und VIRUS-101. • Das Virus FLIP wird das erste polymorphe Virus, das sich erfolgreich verbreitet. 11 1991 • März: Entdeckung des Michelangelo-Virus. • März: Publizierung des Virus-ConstructionSets, das den Zusammenbau eigener, neuer Viren ermöglicht. • Oktober: Entdeckung des ersten Cluster-Virus, DIRII. 1992 • Januar: „Dark Avenger“ veröffentlicht seine MUTATION ENGINE“ (MTE), die es möglich macht, einfache Viren in polymorphe zu verwandeln. • März: MICHELANGELO wird am 6. März aktiv, weltweit vorausgesagte Schäden bleiben jedoch aus. • WINVIR 1.4, das erste Windows-Virus, wird entdeckt. • Das erste Virus, das SYS-Dateien infiziert, erscheint auf der Bildfläche und bekommt den Namen INVOLUNTARY. 1993 • Juli: Die Antivirus-Industrie veröffentlicht ihre erste Wild-List. • Das Virus SATANBUG infiziert PCs in Washington, DC. Die Behörden können den Autor „Little Loc“ nach San Diego zurückverfolgen. Da er noch minderjährig ist, wird von Strafmaßnahmen abgesehen. 1994 • Ein Virenprogrammierer benutzt das Internet, um sein Virus zu verbreiten. Das Virus KAOS4 wird platziert in der Newsgroup ALT.BINARIES.PICTURES.EROTICA. • Das SMEG.PARAGON-Virus verbreitet sich in England. Scotland Yard stellt den Virusautor Christopher Pile (auch als „Black Baron“ bekannt). Er wird wegen Computerkriminalität in elf Fällen angeklagt. 1995 • August: CONCEPT, das erste Makro-Virus, infiziert Microsoft-Word-Dokumente. Der im Virus enthaltene Text lautet: „That’s enough to prove my point.“ • November: „Black Baron“ bekennt sich schuldig und wird zu 18 Monaten Haft verurteilt, gemäß Paragraph 3 des britischen Computermissbrauchgesetzes von 1990. © Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag 12 Wissenswertes über Viren 1996 • Das BOZA-Virus taucht auf, das erste Virus für Windows 95 • Das erste Excel-Virus entsteht und wird in Alaska und Afrika gefunden. XM.LAROUX infiziert Tabellen von Microsoft Excel. 1997 • MIRC-Script-Würmer treten in Erscheinung. Die Virusprogrammierer schreiben mIRCScripte, die sich automatisch wurmartig unter den Benutzern des Internet Relay Chats verbreiten 1998 • Das erste Excel-Formel-Virus namens XF.PAIX.A wird entdeckt. • NETBUS wird veröffentlicht. Es ermöglicht Hackern einen Fernzugriff auf infizierte Rechner. • Das erste Virus für Microsoft Access wird gefunden. • W95.CIH wird in Taiwan entdeckt. • AOL-Trojaner tauchen auf. • JAVAAPP.STRANGEBREW ist das erste JavaVirus, das .CLASS-Dateien infiziert. Es wurde nie in freier Wildbahn gesichtet, beweist aber die bestehende Möglichkeit. • „Cult of the Dead Cow Back“ schreibt ein getarntes Fernsteuerungsprogramm, das die Ausführung von Programmen sowie die Überwachung eines Computers ermöglicht. – VBS.RABBIT ist das erste von vielen ScriptViren, die den Windows Scripting Host nutzen. • HTML.PREPEND wird als Nachweis einer existierenden Möglichkeit geschrieben. • HTML.PREPEND benutzt VBScript, um HTML-Dateien zu infizieren. • Das erste Virus für Microsoft PowerPoint wird entdeckt. 1999 • W97M.MELISSA.A verbreitet sich weltweit. Es infiziert Word-Dokumente und versendet sich per E-Mail an bis zu 50 Adressen im Outlook-Adressbuch, was zum Zusammenbruch vieler Mailserver führt. • NETBUS 2 PRO wird als kommerzielles Programm veröffentlicht. Der Autor beginnt für sein Produkt Geld zu verlangen, um Antivi- • • • • rus-Hersteller davon abzuhalten, es als Virus zu melden. Die Hersteller fügen trotzdem eine Erkennungsroutine ein, da es sich um ein bösartiges Programm handelt. W95.CIH aktiviert sich. Aus Asien werden erhebliche Schäden gemeldet. Aus den USA, Europa, dem Nahen Osten und Afrika kommen nur sporadische Meldungen. Der Wurm EXPLOREZIP wird entdeckt, der sich mit der Geschwindigkeit von MELISSA ausbreitet. Er enthält eine Schadensroutine, die Dateien mit den Endungen DOC, XLS, PPT, C, CPP und ASM zerstört. BACK.ORIFICE 2000 wird veröffentlicht. Diese Version des Fernsteuerungsprogramms funktioniert auch unter Windows NT. Ein Virus wird nur durch Lesen von E-Mails aktiv. VBS.BUBBLEBOY wird am 8. November an Antivirus-Forscher gesendet. 2000 • Die Jahr-2000-Katastrophe bleibt aus – Y2K-Viren bleiben weitgehend wirkungslos. • VBS.BUBBLEBOY erscheint in freier Bahn. • Mit einer Geschwindigkeit, die nur mit der von MELISSA vergleichbar ist, verbreitet sich der VBS.LOVELETTER weltweit. Der ersten ILOVEYOU-Virus-Variante folgen unzählige weitere. Viele Mailserver brechen zusammen. • Das erste Virus, das mit SHS-Dateien (Shell Scrap) arbeitet, wird entdeckt • W32.POKEY.WORM heißt der jüngste Wurm, der bereits Ende Juni registriert wurde. Ähnlich wie ILOVEYOU erscheint er als E-MailAnhang und nutzt Outlook Express, um sich zu verbreiten. • September: Der erste Trojaner für PDAs (Personal Digital Assistant) wird entdeckt. PALM.LIBERTY.A verbreitet sich nicht von selbst, sondern gelangt beim Synchronisationsprozess mit dem PC auf den Kleincomputer und setzt ihn in seinen Ursprungszustand. • November: NAVIDAD.EXE taucht pünktlich zur Weihnachtszeit auft. Am 3. November zum ersten Mal entdeckt, verbreitet sich NAVIDAD zwar nicht sehr schnell, ist aber dennoch gefährlich. Er nutzt Outlook oder Express, und alle Arten von Windows-Rechnern können infiziert werden. © Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag Wissenswertes über Viren 2001 • 2001 wird weithin als das „Jahr der Viren“ bezeichnet. Die Fachleute von Message-Labs sprechen von einem Schädling auf 370 normale E-Mails – doppelt so viele wie im Jahr zuvor. Einsamer Spitzenreiter der „Top-Threats“ ist der SIRCAM-Wurm, der bei MessageLabs 537.523-mal registriert wurde, gefolgt von BADTRANS (258.242), MAGISTR (152.102), GONER (136.585) und HYBRIS (90.473). Dabei ist interessant, dass die beiden Spitzenreiter jünger als zwei Monate sind. • Am weitesten verbreitet waren in diesem Jahr die Würmer. 2002 • Erstmals gab es einen Rückgang in den Schäden durch Computerviren (kein Wunder: 2002 erschien die erste Auflage dieses Heftes ☺). Dennoch gab es keinen Grund zum Aufatmen. • Die verbreitetsten Schädlinge in diesem Jahr waren die Würmer – hier vor allem Bride, Lentin und Klez.I. Klez.I ist noch heute aktiv. • Mit Opaserv.L kam ein Wurm zu trauriger Berühmtheit, der sowohl das CMOS des Rechners als auch den Inhalt der Festplatte löschen kann. 2003 • Bugbear.B war wohl der gefährlichste und am weitesten verbreitete Virus des Jahres. Er schaltet Anti-Viren-Software und Firewalls ab und öffnet eine Hintertür für Hacker. • Gleichzeitig kam es zu einem Krieg zwischen zwei verfeindeten Hacker-Gruppen: Zunächst kam Blaster, ein Virus, der sich immer wieder modifizierte, dann Nachi, ein Virus, der als Tool gegen Blaster herauskam, aber selber ein gefährliches Virus war und den Rechner für Hacker öffnete. • Ein trauriger Rekord: SQLSlammer und Sobig.F waren die wohl am schnellsten verbreiteten Viren der Computergeschichte – selbst „I love you“ verbreitete sich nicht so schnell wie diese Viren. 2004 • In diesem Jahr steigerte sich die Zahl der Angriffe durch Viren ins Unermessliche. Dabei kam es zu neuen Angriffen. So kam es vor, 13 dass Rechner sich infizierten, sobald sie das Internet betraten. • Gleichzeitig kamen immer neue Varianten von Viren in Umlauf. Netzky, Sacher, Natzky und andere Viren kamen teilweise mit mehr als 40 Varianten in Umlauf. Berühmte Viren Was wäre ein Heft über Viren, wenn ich nicht auch auf einige „berühmte“ Viren eingehen würde? Gleichzeitig siehst du daran, welche Gefahren durch Viren drohen und welche Schäden entstehen können. New Zealand … tauchte Ende der 80er Jahre in Neuseeland auf. Es handelt sich hier um ein Bootsektorvirus. Bei einem von acht Bootversuchen von Diskette gibt es die Meldung „Your PC is now stoned“ aus und legt eine Kopie des Bootsektors im letzten Sektor des „Rootverzeichnisses“ der Festplatte ab. Große Festplatten können dadurch zerstört werden. Form … ist bereits seit 1991 unterwegs. Auch heute ist dieses Virus noch weit verbreitet. Unter Dos und den älteren Windows-Versionen hat es eigentlich nur eine Wirkung: Am 18. jeden Monats sorgt es dafür, dass beim Drücken einer Taste ein Klickton entsteht. Unter WindowsNT konnten Rechner allerdings nicht mehr richtig booten. „Form“ ist ein in der Schweiz programmiertes Bootsektorvirus. Parity Boot … war eines der „erfolgreichsten“ Viren der 80er und frühen 90er Jahre. Noch 1998 war es eines der häufigsten Viren. In Deutschland wurde es 1994 über eine Heft-CD verteilt. Parity Boot ist ein Bootsektorvirus. Vermutlich wurde es in Deutschland programmiert. Beim Start zeigt es als Fehlermeldung einen „Parity Check“ und friert den Computer ein. Dadurch entsteht der Eindruck, es liege ein Problem mit dem Arbeitsspeicher vor. Anticmos … ist – wieder einmal – ein typisches Bootsektorvirus. Zuerst tauchte es 1994 in Hongkong auf, der Ursprung ist jedoch wahrscheinlich China. © Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag 14 Wissenswertes über Viren „Anticmos“ versuchte, Informationen über die Typenbezeichnung der installierten Diskettenund Festplattenlaufwerke zu löschen. Mitte der 90er Jahre war es regelmäßig unter den Top 10 der Virenschäden. Concept … war das erste Makrovirus in freier Wildbahn. Es tauchte zuerst im August 1995 auf. Peinlich ist, dass dieses Virus versehentlich mit offizieller Microsoft-Software ausgeliefert wurde – für eine weite Verbreitung war so gesorgt. Es war eines der häufigsten Viren zwischen 1996 und 1998. CONCEPT hängt an Word. Öffnest du ein infiziertes Dokument, erscheint eine Textmeldung mit dem Titel „Microsoft Word“ und dem Text „1“. Jedoch gibt es zahlreiche Varianten. CIH (Chernobyl) CIH ist ein Programmvirus, das ich aufgrund seiner Eigenschaften unter die BIOS-Viren zähle. Es ist das erste Virus, das das BIOS überschreiben konnte. Geschrieben wurde es von Chen Ing Hau aus Taiwan im Juni 1998. Am 26. April eines jeden Jahres wird es ausgelöst – es gibt jedoch auch Varianten, die an anderen 26. ausgelöst werden. Durch das Überschreiben des BIOS sorgt das Virus dafür, dass der Rechner nicht mehr booten kann. Im Extremfall muss die Hauptplatine ausgetauscht werden. Happy99 … ist das erste bekannte Virus, das sich selbst relativ schnell per E-Mail verbreitet hat. Es handelt sich hier um ein Programmvirus für die Windows-Versionen ab Windows 95. Das Virus zeigt auf dem Bildschirm ein Feuerwerk mit der Meldung „Happy New Year 1999“. Gleichzeitig verändert es die Datei WINSOCK32.DLL so, dass jeder versandten Mail eine zweite mit dem Virus folgt. Dieses Virus wurde zuerst von einem französischen Virenschreiber bei einer Newsgroup abgelegt. Melissa … ist ebenfalls ein Makrovirus, das sich per Mail versendet. Es ist das erste Virus, das sich – im März 1999 – binnen eines Tages auf der ganzen Welt verbreitete und ein enormes Presseecho hervorrief. MELISSA schickt eine Nachricht an die ersten fünfzig Einträge im Microsoft-Outlook-Adressbuch. In der Absenderzeile steht der Name des Betroffenen. Die Mail scheint ein Dokument zu enthalten, dessen Inhalt für den Empfänger von Interesse ist. Öffnet dieser die Mail, so ist auch sein Rechner betroffen. Sind Tag und Minute beim Öffnen des Dokuments gleich, so fügt das Virus Text über das Spiel „Scrabble“ in das Dokument ein. Ursprünglich wurde auch diesesVirus in einer Usegroup im Usenet abgelegt. Kakworm … ist ein Visual-Basic-Script-Wurm. Er ist das erste Virus, bei dem Benutzer ihre PCs bereits beim Lesen einer E-Mail mit einem Virus infizieren können. Voraussetzung dafür ist, dass der Benutzer Outlook oder Outlook-Express mit dem Internet Explorer 5 verwendet. Das Virus ändert die Einstellungen von Outlook-Express, sodass alle versendeten Mails ebenfalls den Virencode übernehmen. Am Ersten eines jeden Monats um 17.00 Uhr erscheint eine Meldung mit dem Text „Kagou-Anti _Kro$oft says not today“, und Windows wird geschlossen. Loveletter Schließlich das bekannteste, wenn auch nicht gefährlichste Virus: LOVELETTER oder „I Love You“. Im Mai 2000 wurde es von den Philippinen aus versendet und legte weltweit die Mailserver lahm. Auch hier handelt es sich um einen „Visual-Basic-Script-Wurm“. Mittlerweile gibt es unzählige Abarten. Blaster Ab dem 11.08.2003 erhielten viele Nutzer des Internets die folgende Fehlermeldung: © Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag Wissenswertes über Viren 15 Benutzer erhielten die folgenden Sicherheitsmeldungen: Anschließend wurde der Rechner heruntergefahren Hier hatte der Wurm „Blaster“ alias „Lovesan“ zugeschlagen. Blaster attackiert gezielt Windows NT, 2000, XP und 2003 Rechner. Dabei nutzt er die so genannte „DCOM RPC“ Schwachstelle von Windows aus. Diese Schwachstelle wurde durch das Service-Pack 1 bei Windows XP geschlossen. Sasser Seit dem 1. Mai 2004 grassierte „Sasser“. Auch dieser Wurm nutzt eine Sicherheitslücke in Windows (die LSASS-Schwachstelle) – diesmal das Fehlen einer Firewall, denn er kam über offene Ports, ohne dass der User etwas anklicken musste. Betroffen waren Windows 2000, 2003 und XP. Anschließend wurde – wie schon bei Blaster – der Rechner heruntergefahren. Das Internet konnte nicht mehr genutzt werden, bis eine Firewall eingesetzt wurde. © Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag 16 Wie kommt ein Virus auf meinen Rechner? Wie kommt ein Virus auf meinen Rechner? Im Auftrag des Wissenschaftsministeriums von NRW wurde ein Programm erstellt, das die Forschungsaktivitäten an den Lehrstühlen der Universitäten des Landes Nordrhein-Westfalen statistisch erfassen sollte. Die Master-Diskette wurde in der Kopieranstalt ohne Wissen des Auftraggebers einem Funktionstest unterzogen – auf einem verseuchten Personalcomputer. Damit waren sämtliche Disketten (annähernd 2000 Stück) mit dem "1701"-Virus verseucht. Zum Glück entdeckte ein Anwender das Virus auf der Diskette frühzeitig, sodass die Rückrufaktion recht erfolgreich war und nur in sehr wenigen Fällen Schaden entstand. Ein Computervirus fängst du dir schneller ein als dir lieb sein kann. Praktisch kannst du jedes Mal, wenn du neue Dateien auf deinen Rechner lädst, Gefahr laufen, ein Virus auf die Festplatte zu bringen. Die häufigsten Übertragungsquellen: • E-Mail: Heute die häufigste Übertragungsart von Viren. In der Regel handelt es sich um Dateianhänge, die unbedacht geöffnet werden, oder um Links, auf die geklickt wird. • Disketten: Früher die häufigste Übertragungsart, spielen Disketten heute keine allzu große Rolle mehr – was allerdings nicht heißt, dass man sie vernachlässigen kann. Insbesondere Bootsektorviren werden heute noch häufig über Disketten verbreitet. • CD-ROMs: CD-ROMs sind ebenfalls eine häufige Quelle von Viren. Dabei spielt es kaum eine Rolle, ob es sich um selbstgebrannte CD-ROMs von Freunden handelt oder um Heft-CDs. Auch kommerzielle Software muss nicht unbedingt sicher sein. Oft werden hier veraltete Scanner eingesetzt, manchmal auch gar keine. • Wartungssoftware: Man sollte es nicht für möglich halten, aber auch die Software von Wartungsfirmen, denen du deinen Rechner zur Reparatur anvertraut hattest, kann virenverseucht sein. Das BSI (Bundesamt für Sicherheit in der Informationstechnologie) zählt diese Quelle mit zu den häufigeren Übertragungswegen. • Raubkopien: Gerade von namhaften Herstellern werden Raubkopien als wichtigster Verbreitungsweg von Viren bezeichnet. Leider ist dies nicht unbedingt zutreffend – viele namhafte Hersteller haben da selber ihre Leichen im Keller, und ihre Reaktionen sind nicht immer vorbildlich: Sie reichen von Verharmlosung („defekte Diskette“ statt „Computervirus“) über recht zögerliche Aufklärung bis zum versuchten Totschweigen. • Downloads: Downloads aus dem Internet sind ebenfalls eine häufige Quelle für Viren. Gerade einige Musiktauschprogramme waren berüchtigt dafür, dass hier mehr Viren als Programme kursierten. • Ungesicherter Rechner: Wie Blaster und Sasser zeigten, reicht schon ein ungesicherter Rechner, um den Rechner in Gefahr zu bringen. Insbesondere das Fehlen eines aktuellen Virenscanners und einer Firewall sowie ein ungepatchtes (d.h. nicht auf dem neuesten Stand befindliches) Betriebssystem können Gefahrenquellen sein. Wie die Meldung oben schon zeigt, gibt es keine wirklich sicheren Quellen für virenfreie Software – weder kommerzielle Anbieter noch den guten Kumpel von nebenan. Bei all dem musst du dir im Klaren sein: Mit sehr wenigen Ausnahmen fängst du ein Virus nicht dadurch ein, dass du im Internet surfst – Computerviren benötigen deine aktive Mitarbeit. Bei all den oben genannten Übertragungswegen bist du es, der aktiv ist – sei es durch Anklicken von EMails, durch Downloads, die installiert werden, ohne dass du sie zuvor scannst, durch Software, die ungeprüft auf deinen Rechner kommt. Welche Dateien sind betroffen? Bei den Stealth-Viren auf Seite 6 habe ich schon erklärt, was es mit den Dateinamenserweiterungen auf sich hat. Welche Dateiarten können also von Viren betroffen sein? • COM, EXE, SCR, BAT, CMD, PIF, LNK, HTA, HTM, HTML, VBS, VBE, JS, JSE, VXD, CHM, EML: Diese Dateien werden von Windows unmittelbar ausgeführt und können Viren enthalten. © Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag