Viren, Würmer und
Trojaner
Allgemeine Informationen und
Schutzstrategien
© PGP IX/03
Autoren-Hinweis:
► Viele
Texte auf den Folien sind den InternetSeiten von H+BEDV, Microsoft und McAfee
entnommen. Die Folien sind dann mit H, M
und A gekennzeichnet.
© PGP IX/03
Virus
► Ein
Computervirus ist ein Programm, welches die
Fähigkeit besitzt, sich nach seinem Aufruf
selbsttätig an andere Programme auf irgendeine
Weise anzuhängen und dadurch zu infizieren.
Viren vervielfältigen sich also im Gegensatz zu
logischen Bomben und Trojanern selber. Im
Gegensatz zu einem Wurm benötigt ein Virus
immer ein fremdes Programm als Wirt, dessen
Programmablauf durch die Infektion über den
Virus umgelenkt wird. Im Normalfall wird aber der
eigentliche Programmablauf des Wirts selber nicht
geändert.
© PGP IX/03
H
Wurm
► Als
Wurm wird ein Programm bezeichnet,
das sich selber vervielfältigt, jedoch keinen
Wirt infiziert. Würmer können also nicht
Bestandteil anderer Programmabläufe
werden. Würmer bieten auf Systemen mit
restriktiveren Sicherheitsvorkehrungen oft
die einzige Möglichkeit, irgendwelche
Schadensprogramme einzuschleusen
© PGP IX/03
H
Exploit
► Ein
Programm, das ein Sicherheitsloch
nutzt, um in einen Rechner einzudringen
und dort Schaden anzurichten. (Z.B. gerade
bei EUDORA entdeckt!)
© PGP IX/03
H
Hoax
► Diese
Programme werden geschrieben, um
jemanden zu erschrecken oder zu ärgern. Sie
sind im Normalfall nicht schädlich und
vermehren sich auch nicht (es sein denn durch
Weitergabe amüsierter Zeitgenossen). Oft
beginnt der Computer nach dem Start eines
Witzprogramms eine Melodie zu spielen, etwas
auf dem Bildschirm darzustellen oder ein kleines
Programm zu simulieren. Der Anwender
bekommt häufig einen Schreck oder richtet in
Panik eventuell selber Schaden an.
© PGP IX/03
H
Trojaner
►
sind in letzter Zeit recht häufig anzutreffen. Als Trojaner
bezeichnet man Programme, die vorgeben, eine bestimmte
Funktion zu haben, nach ihrem Start aber ihr wahres
Gesicht zeigen und irgendeine andere Funktion ausführen,
die zumeist zerstörerisch ist. Trojanische Pferde können
sich nicht selber vermehren, was sie von Viren und
Würmern unterscheidet. Die meisten Trojaner haben einen
interessanten Namen (STARTME.EXE oder SEX.EXE), der
den Anwender zur Ausführung des Trojaners verleiten soll.
Unmittelbar nach der Ausführung werden diese dann aktiv
und formatieren z.B. die Festplatte. Eine spezielle Art eines
Trojaners ist ein Dropper, der Viren "droppt", d.h. in das
Computersystem einpflanzt.
© PGP IX/03
H
Logische Bombe
► oder
kurz Bombe. Dieser Schädlingstyp ist eine
Abart der Trojanischen Pferde. Es handelt sich
hierbei um Programmteile, die in nützliche
Programme eingebettet sind und aus einem
Auslöser (Trigger) und einer Schadensroutine
(Payload) bestehen. Die Schadensroutine wird
dabei im Normalfall nicht aufgerufen. Erst bei
Erreichen der Trigger-Bedingung "explodiert" die
Bombe und verrichtet ihr zerstörerisches Werk,
d.h. die Schadensroutine wird aufgerufen.
© PGP IX/03
H
Applikations-/Makroviren
►
gehören zu einer neueren Generation von Computerviren,
den Dokumentviren. Sie sind in der Makrosprache einer
Applikation (z.B. WinWord, Excel, Access, AmiPro,
WordPerfect, StarOffice) geschrieben und können sich (mit
Ausnahmen) auch nur dann verbreiten, wenn die
entsprechende Applikation aktiv ist. Die Verbreitung erfolgt
im Normalfall über die Dokumente der Applikation. Diese
Viren können unter Umständen auch plattformübergreifend
"arbeiten", nämlich dann, wenn der entsprechende
Dokumenttyp im gleichen Format auf anderen Plattformen
verwendet wird. Als Beispiel seien hier MS Word
Makroviren genannt, die sich sowohl auf Windows-PC's wie
auch auf dem Apple MacIntosh verbreiten können.
© PGP IX/03
H
Virusarten 1
► Speicherresidente
Viren
► Nicht residente Viren
► Stealth-Viren
► Polymorphe Viren
► Direct-Action-Viren
► Slow Viren
► Dateiviren
© PGP IX/03
Virusarten 2
► Bootviren
► Companion-Viren
► Tunnelnde
Viren
► Dropper
► Active-X-Viren
► VB-Script-Viren
► Java
© PGP IX/03
Viren
Mögliche Schäden
Störungen beim Bildaufbau und Veränderung der
Bildschirmausgaben.
► Eigene Bildschirmausgaben, die nur durch bestimmte
Aktionen wieder rückgängig gemacht werden können.
► Veränderung von Tastatureingaben.
► Komplette Systemabstürze.
► Löschen von einzelnen Daten und Programmen.
► Formatieren von Festplatten und Disketten und damit
sofortige Vernichtung aller Daten eines Systems.
► Schleichende Datenzerstörung bzw. sehr langsame
Veränderung der Daten auf dem System.
► Löschen von Systeminformationen (CMOS-Setup).
► Überschreiben bzw. Verändern des BIOS in Flash-ROMS
►
© PGP IX/03
H
Symptome bei Virenbefall 1
Programme benötigen plötzlich deutlich länger, bis sie
vollständig geladen sind.
► Die Dateigröße eines Programms verändert sich.
► Der freie Platz auf der Festplatte wird schnell sehr klein.
► CHKDSK.EXE zeigt unter DOS keine freien 655360 Bytes
mehr an.
► Die Dateien haben seltsame oder unrealistische Datums/Zeitangaben.
► Windows gibt 32-Bit Zugriffsfehler aus.
► Die Festplatte zeigt ohne Ihr Zutun häufige Aktivitäten.
► Nach dem Booten von Diskette kann auf die Festplatte
nicht mehr zugegriffen werden.
►
© PGP IX/03
H
Symptome bei Virenbefall 2
Es erscheinen neue, unbekannte Dateien auf der
Festplatte.
► Dateien haben merkwürdige, unbekannte Namen.
► Aus dem Lautsprecher kommt bei jedem Tastendruck ein
seltsames Geräusch (Klick).
► Die Bildschirmausgaben verändern sich ohne Ihr Zutun.
► Der Computer verliert seine Einstellungen im CMOSRAM, obwohl Akku oder Batterie o.k. sind.
► Unter Windows 95 ist der Kompatibilitätsmodus aktiviert.
► Dokumente zeigen häufig Rechtschreibfehler bzw.
werden verändert
►
© PGP IX/03
H
Mehr Infos
►
►
►
►
►
►
►
►
►
►
►
http://agn-www.informatik.uni-hamburg.de/vtc/ - VTC Uni
Hamburg
ftp://ftp.informatik.uni-hamburg.de/pub/virus/texts/ - VTC Uni
Hamburg
http://www.hitchhikers.net/av.shtml (engl.)
http://csrc.ncsl.nist.gov/virus (engl.)
http://www.nc5.infi.net/~wtnewton/vinfo/master.html (engl.)
http://www.virusbtn.com - Virus Bulletin Home Page (engl.)
http://pages.prodigy.com/virushelp/ - Henri Delger's Home Page
(engl.)
http://www.cknow.com/ - Virus Tutorial by Tom Simondi (engl.)
http://www.claws-and-paws.com/virus/index.shtml (engl.)
http://www.kumite.com/myths/ - Bob Rosenberger's Computer
Virus Myths Page
ftp://ftp.uni-paderborn.de/aminet/util/virus/ - Antivirus Infos
© PGP IX/03
H
'In The Wild' - Die 10 häufigsten
Viren:
► Virusname
© PGP IX/03
Low
High
Virus konkret – [email protected]
►
A new variant of W32/Sobig, [email protected] is a High Risk massmailing worm. It arrives as an email attachment with a .pif or .scr
extension. When run, it infects the host computer, then emails itself
(using its own SMTP engine) to harvested email addresses from the
victim's machine.
►
In addition, when it propagates, the worm "spoofs" the "from: field",
using one of the harvested email addresses. So exercise care when
opening emails with attachments. An infected email can come from
addresses you recognize.
►
Because it sends so many emails, a worm like Sobig also saps
bandwidth and slows network performance. Worse, it can also open up
a user's computer port, making it vulnerable to hackers, who can plant
dangerous Trojans. These malicious programs often let unauthorized
users remotely take over a system, steal personal information or use
the infected PC to send spam.
© PGP IX/03
A
Virus konkret – [email protected]
► Virus
Profile (von McAfee)
 Virus InformationName:[email protected]
 Risk Assessment
► Home
Users:
► Corporate Users:






Date Discovered:
Date Added:
Origin:
Length:
Type:
SubType:
© PGP IX/03
High
Medium
8/18/2003
8/18/2003
Unknown
approx 72,568 Bytes
Virus
Internet Worm
A
Virus konkret – [email protected]
►
Virus Characteristics (von McAfee)
 This detection is for a new variant of W32/Sobig. In common with
previous variants, the worm is written in MSVC, and bears the following
characteristics:
► propagates
via email, constructing outgoing messages with its own SMTP
engine
► propagates over network shares (not confirmed during testing)
 Note: The worm carries garbage data appended to end of file, so exact
filesize and file checksum may vary.
 Installation
► The
worm copies itself onto the victim machine as WINPPR32.EXE into
%Windir%, for example:
►A
 C:\WINNT\WINPPR32.EXE
configuration file is also dropped to %Windir%:
 C:\WINNT\WINSTT32.DAT
► The
© PGP IX/03
following Registry keys are added to hook system startup:
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"TrayX" = %Windir%\WINPPR32.EXE /sinc
 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"TrayX" = %Windir%\WINPPR32.EXE /sinc
A
Virus konkret – [email protected]
►
The worm mails itself to email addresses harvested from
the victim machine, using its own SMTP engine to
construct outgoing messages. Target email addresses are
harvested from files with the following extensions:








DBX
HLP
MHT
WAB
EML
TXT
HTM
HTML
© PGP IX/03
A
Virus konkret – [email protected]
► Betreff:










Your details
Thank you!
Re: Thank you!
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie
Re: That movie
© PGP IX/03
► Anhang:









your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif
A
Virus konkret – [email protected]
► Nachrichtentext:
 See the attached file for details
 Please see the attached file for details
► Der
Wurm kopiert sich in infizierten
Rechnern selbst als die Datei:
C:\WINNT\WINPPR32.EXE
© PGP IX/03
Virus konkret – [email protected]
► The
attachment must be run manually to
infect the local system. Additionally,
messages sent by the virus contain the
following fields (note, these are commonly
found in valid email messages):
 X-MailScanner: Found to be clean
 X-Mailer: Microsoft Outlook Express
6.00.2600.0000
© PGP IX/03
A
Virus konkret – [email protected]
►
►
►
►
►
►
►
►
►
►
►
The worm contains a list of IP
addresses for remote NTP
servers, to which it sends NTP
packets (destination UDP port
123).
200.68.60.246
62.119.40.98
150.254.183.15
132.181.12.13
193.79.237.14
131.188.3.222
131.188.3.220
193.5.216.14
193.67.79.202
133.100.11.8
© PGP IX/03
►
►
►
►
►
►
►
►
►
►
193.204.114.232
138.96.64.10
chronos.cru.fr
212.242.86.186
128.233.3.101
142.3.100.2
200.19.119.69
137.92.140.80
129.132.2.21
The worm obtains the UTC time
from one of these servers which
is used by the worm to determine
when to attempt to download
remote file(s).
A
Virus konkret – [email protected]
► Self-Termination
In common with previous W32/Sobig
variants, this variant contains a date
triggered self-termination routine. If the
date is September 10th 2003 or later, the
worm will no longer propagate.
© PGP IX/03
A
Virus konkret – [email protected]
►
►
►
►
►
►
►
►
►
►
►
The worm is capable of retrieving
file(s) from a remote server - the
specific URL of which is controlled by
the author, and is issued in response
to data sent from infected machines.
At a specific time (as determined via
NTP), the worm sends data from
infected machines to a number of
remote systems on UDP port 8998:
12.158.102.205
12.232.104.221
218.147.164.29
24.197.143.132
24.202.91.43
24.206.75.137
24.210.182.156
24.33.66.38
61.38.187.59
© PGP IX/03
►
►
►
►
►
►
►
►
►
►
►
►
63.250.82.87
65.177.240.194
65.92.186.145
65.92.80.218
65.93.81.59
65.95.193.138
66.131.207.81
67.73.21.6
67.9.241.67
68.38.159.161
68.50.208.96
The specific time condition for this
event is between 19:00 - 22:00
(UTC) on a Friday or Sunday. These
IP addresses are in the process of
trying to be shutdown.
A
Schutz
► Virenscanner
(Nur ein Produkt installieren!)
 AntiVir PE
 Symantec AV 200x
 McAfee Anitivirus
► Firewall
 In Windows XP „eingebaut“
 Zonealarm
 Symantec Personal Firewall
► Regelmäßige
System-Updates
 windowsupdate.microsoft.com
© PGP IX/03
Scriptviren und Würmer
► Diese
Viren sind extrem einfach zu programmieren
und verbreiten sich - entsprechende Techniken
vorausgesetzt - innerhalb weniger Stunden per
Email um den ganzen Erdball. Da durch einfaches
Ändern einiger Textzeilen ein "neuer" Virus erzeugt
werden kann, tauchen auch immer wieder leicht
veränderte Ableger auf, die vielen
Antivirenprogrammen Probleme bereiten. Allein
von VBS/Loveletter sind über hundert Varianten
bekannt.
H
© PGP IX/03
Scriptviren
► Der
Großteil dieser Viren ist einer einzigen ScriptSprache zuzuordnen: Visual Basic Script.
► Die Script-Sprachen sind teilweise so mächtig
(VBS), dass damit fast alle Funktionen eines
Betriebssystems aufgerufen und ausgeführt
werden können. Unter anderem lassen sich damit
Applikationen steuern, Emails versenden,
"richtige" Programme ausführen etc. Dieses große
Funktionsspektrum öffnet - trotz sporadischer
Sicherheitsvorkehrungen der Hersteller - den Viren
Tür und Tor zum lokalen Computersystem
H
© PGP IX/03
Scriptviren
► Scriptviren
und -würmer benutzen eine dieser
Script-Sprachen, um sich selbst in andere, neue
Scripte einzufügen oder sich selber durch den
Aufruf von Betriebssystemfunktionen zu
verbreiten. Häufig geschieht dies per Email oder
durch den Austausch von Dateien (Dokumenten).
► Es gibt aber auch andere Verbreitungswege:
Einige Scriptwürmer für das Chatprogramm mIRC
z.B. verschicken sich selber per DCC an andere
Benutzer. Wird das Script dann vielleicht an einer
"falschen" Stelle gespeichert (z.B. im mIRCVerzeichnis), wird der Wurm bei jedem Start des
Programms aktiv und kann sich wiederum weiter
verschicken.
© PGP IX/03
H
Scriptviren
► Oftmals
wird noch eine Schadensfunktion,
der sog. Payload (engl.: Nutzlast),
eingebaut. Dieser Teil des Virus oder Wurms
wird durch ein bestimmtes Ereignis (z.B.
Datum/Uhrzeit, n-te Generation des Virus,
Tastendruck, etc.) ausgelöst. Diese
Schadensfunktion kann dann alles anstellen:
von einer einfachen Bildschirmmeldung über
das Formatieren der Festplatten bis hin zum
Start externer EXE-Viren ist alles möglich.
H
© PGP IX/03
Beispiele für Scriptviren
► VBS.LoveLetter
► VBS.Newlove
► VBS.FreeLink
► VBS.Monopoly
► CS.Gala
► HTML.Internal
► HTML.NoWorm
► Script.Inf
► WinScript.AVM
► WinScript.777
► WinScript.Rabbit
© PGP IX/03
H
Gegenmaßnahmen
► Sensibilisierung
► Regeln
für Firewall/Content-Filter aufsetzen
► Verwenden Sie andere Email Clients
► Einsatz einer guten Antivirensoftware
► Internet-Sicherheitseinstellungen
maximieren
► Aktuelle Sicherheitspatches aufspielen.
H
© PGP IX/03
Ziel
© PGP IX/03

Viren, Würmer und Trojaner