Termin II - TU Berlin

Viren, Würmer und Trojaner
Überleben im Schädlingsdschungel, 2. Teil.
Thomas Hildmann
hildmann@prz.tu-berlin.de
FSP-PV/PRZ TU Berlin
i.A. der TU Berlin Weiterbildung – p.1/22
Bevor es weiter geht...
Gibt es bezüglich der Themen vom letzten Termin...
Anmerkungen,
Fragen,
Anregungen,
Beschwerden,
Proteste,
Erfahrungen,
Hinweise,
Tips,
Tricks,
Verunsicherungen,
... ?
i.A. der TU Berlin Weiterbildung – p.2/22
Inhalt
Trojanische Pferde
Hoaxes
Phishing
Kettenbriefe
Frauds
Qualifikation und Motivation von Autoren
Antiviren Programme
Was tun nach Virenbefall?
i.A. der TU Berlin Weiterbildung – p.3/22
Trojanisches Pferd
Der Begriff “Trojanisches Pferd” ist ursprünglich
auf den grieschichen Dichter Homer
zurückzuführen: Nachdem die Griechen nach dem
Raub Helenas die Stadt Troja zehn Jahre lang
vergeblich belagert hatten, ersann Odysseus eine
List. Er schlug vor, ein großes hölzernes Pferd zu
bauen, in dessen Bauch sich Soldaten verstecken.
Quelle: BSI-Faltblatt: Kurzinformationen zu Trojanische
Pferde
http://www.bsi.bund.de/av/
i.A. der TU Berlin Weiterbildung – p.4/22
Trojanisches Pferd
Trojanische Pferde sind Programme, die neben
scheinbar nützlichen auch nicht dokumentierte,
schädliche Funktionen enthalten und diese
unabhängig vom Computer-Anwender und ohne
dessen Wissen ausführen. Im Gegensatz zu
Computer-Viren können sich Trojanische Pferde
jedoch nicht selbständig verbreiten.
Quelle: BSI-Faltblatt: Kurzinformationen zu Trojanische
Pferde
http://www.bsi.bund.de/av/
i.A. der TU Berlin Weiterbildung – p.5/22
Typische trojanische Pferde
Nachbildung des Anmeldebildschirms (Login)
Zugang zu ISPs (z.B. AOL)
Nachbildung der Online-Banking-Software
Installationen von Tools wie Subseven oder Back Orifice
zum Fernsteuern des Rechners
i.A. der TU Berlin Weiterbildung – p.6/22
Gegenmaßnahmen: Trojanische Pferde
Verwenden Sie Programme nur aus sicherer
Quelle!
Keine Anhänge aus unsignierten, ungeprüften E-Mails!
Verwendung von sichereren E-Mailclients
Abschalten der Ausführung aktiver Inhalte in E-Mails
evtl. Abschaltung von HTML-Mails etc.
Nutzen Sie Informationsangebote!
Updates, Updates und schnell Updates!
i.A. der TU Berlin Weiterbildung – p.7/22
Erkennung und Beseitigung
Durch aktuellen Virenwächter (ggf. verschiedene
einsetzen)
Durch auffinden in...
Autostart-Ordner
Win.ini
Registry
...
Beseitigung durch Löschen des Schadprogramms und
des dazugehörigen Eintrags (ggf. Fachmann
hinzuziehen)
i.A. der TU Berlin Weiterbildung – p.8/22
Hoaxes
Ein Hoax ist eine Falschmeldung. Der Schaden entsteht
durch die Verbreitung dieser Meldung und durch die
Aufforderung, die oft mit einem Hoax verbunden ist (Dateien
ändern/löschen, sensible Daten weitergeben, usw.).
Oft sind Hoaxes als Kettenbriefe angelegt und fallen in die
Kategorie Spam.
Wirkungsvollste Gegenmaßnahme: Erkennen und
ignorieren. Ggf. aufklären.
http://www.hoax-info.de/
i.A. der TU Berlin Weiterbildung – p.9/22
GESCHAEFTSVORSCHLAG
i.A. der TU Berlin Weiterbildung – p.10/22
Hoaxbeispiele
Zum besseren Verständnis und evtl. auch zum Schmunzeln
hier ein paar Beispiele für Hoaxes:
Jdbgmgr.exe
Bonsai Kitten
Atomstromfilter
i.A. der TU Berlin Weiterbildung – p.11/22
Phishing
Phishing wird meist über E-Mail betrieben und stellt eine
Sonderform von Hoaxes dar. Hier wird durch einen
erfundenen Sachverhalt versucht, an sensible
Informationen von Benutzern zu gelangen.
Beliebt sind z.B. Kreditkartennummern, Daten, die für
eBay-Anmeldungen erforderlich sind oder
Online-Konto-Zugangsdaten.
Erkennung: Banken etc. schreiben solche Aufforderungen
nicht per E-Mail. Ggf. beim Institut nachfragen und immer
nur die bekannten Zugangsinformationen (z.B. URLs aus
den Bookmarks) benutzen.
http://www.bsi-fuer-buerger.de/abzocker/05_08.htm
i.A. der TU Berlin Weiterbildung – p.12/22
Kettenbrief
Kettenbriefe sind Spam, binden Arbeitszeit, machen den
Nutzen von E-Mails zunichte, verunsichern die Empfänger,
verursachen erhebliches, unnützes Datenaufkommen.
Keine Angst! Die erwähnten Fallbeispiele aus
verschiedenen Kettenbriefen sind erfunden oder statistisch
erklärbar. Gelingt es nicht, Kettenbriefe zu ignorieren, hilft
in der Regel eine ambulante psychologische Betreuung.
i.A. der TU Berlin Weiterbildung – p.13/22
Arlington
Wenn Sie diese Mail loeschen, haben Sie ernsthaft kein Gefuehl, kein Herz.
Hallo, ich bin ein 29jaehriger Vater. Ich und meine Frau haben zusammen
ein wundervolles Leben gehabt. Gott segnete uns auch mit einem Kind. Der
Name unserer Tochter ist Rachel, und sie ist 10 Monate alt. Nicht vor
langer Zeit ermittelten die Doktoren Gehirnkrebs in ihrem kleinen Koerper.
Es gibt nur Einen Weg, sie zu sichern... eine Operation.
Traurig, dass wir nicht genuegend Geld zum zahlen der Operation haben..
AOL und ZDNET sind damit einverstanden, uns zu helfen.
Die einzige Art und Weise, auf die sie uns helfen können, ist auf diese Weise,
indem ich Ihnen diese Email schicke. Bitte schicken Sie dieses Mail an
moeglichst viele Leute weiter. AOL sammelt diese Mails auf und zaehlt,
wieviele Leute es erhalten. Jede Person, die dieses Mail oeffnet und es
mindestens 3 Leuten schickt, gibt uns 32 Cents.
Helfen Sie uns bitte. Sie konnen mit Ihrem versenden Leben retten.
Danke vielmals!
George Arlington
i.A. der TU Berlin Weiterbildung – p.14/22
Viren-Autoren
Mindestanforderungen:
Programmierkenntnisse
Motivation:
Geltungsbedürfnis /
Eitelkeit
Kenntnisse zu
Sicherheitslücken oder
Ideen zum social
Engineering
Geld bzw. geldwerte
Vorteile
etwas Zeit
Langeweile
Rache / Zerstörungswut
Auftrag / Erpressung
durch Dritte
(Industrie)spionage
i.A. der TU Berlin Weiterbildung – p.15/22
Beispiel für einen Virenautor
Netsky und Sasser stammen aus der “Feder” eines
deutschen Schülers.
http://www.heise.de/security/news/meldung/50758
i.A. der TU Berlin Weiterbildung – p.16/22
Antiviren-Programme im Vergleich 1/2
1. SCN = NAI VirusScan 4.16.0 (22)
2. AVP = Kaspersky AntiVirus 3.0 / FSE = FSecure
AntiVirus 1.00.1251 (17)
3. NAV = Norton AntiVirus (Corp.Ed.) (13)
4. DRW = DrWeb 4.46 (11)
5. INO = Inoculan 6.0 (10)
6. RAV = Rumanian AntiVirus 8.02.001 (9)
7. BDF (AVX) Bit Defender, CMD = Command Software
4.62.4, NVC = Norman Virus Control 5.30.02 (7)
i.A. der TU Berlin Weiterbildung – p.17/22
Antiviren-Programme im Vergleich 2/2
Perfekter Malware-Schutz (26 Punkte). Sophos wird in den
nächsten Tests wieder berücksichtigt.
Quelle: AntiVirus/AntiMalware Product Test "2003-04"
antiVirus Test Center (VTC), University of Hamburg
i.A. der TU Berlin Weiterbildung – p.18/22
Weitere Testergebnisse
Rät von Norton AntiVirus ab und unterscheidet
ansonsten vor allem danach, wie ressourcenschonend
die Software ist. Es gewinnt F-Secure gefolgt von
AntiVir. Fazit: “Perfekt ist keiner.”
Chip-Online:
Regelmäßig aktuelle Tests beobachten!
Unabhängigkeit hinterfragen!
Augen offen halten:
i.A. der TU Berlin Weiterbildung – p.19/22
Die wichtigsten Virenscannerfunktionen
Wir testen am Beispiel Sophos:
Virendatenbank-Updates
Prüfung aller Datenträger
Einstellungen für InterCheck (Online-Prüfung)
Prüfung einzelner Dateien
i.A. der TU Berlin Weiterbildung – p.20/22
Was tun nach Virenbefall?
Ruhe bewahren!
Arbeiten nach Möglichkeit abschließen
Verdacht überprüfen
Nach Möglichkeit Spezialisten hinzuziehen
Beseitigung ist unterschiedlich und nach Identifizierung
i.d.R. möglich
Neuinstallation ist nur letzter Ausweg und sollte nur bei
sehr sensiblen Systemen vorgenommen werden
i.A. der TU Berlin Weiterbildung – p.21/22
Zum Thema Updates
Wahlweise Online-Update-Funktion oder regelmäßig
über Updates informieren und manuell Patches
einspielen
Nach Neuinstallation von Programmen immer erst
Update, dann Benutzung
Updates von Fremdherstellersoftware sind nicht
automatisch beim Online-Update dabei (also z.B.
Mozilla auf Windows-Systemen etc.)
Software ohne Support muss so bald, wie möglich
ersetzt werden
i.A. der TU Berlin Weiterbildung – p.22/22