Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Malware Seminar Internettechnologie Andreas Dinkel.

Ähnliche Präsentationen


Präsentation zum Thema: "Malware Seminar Internettechnologie Andreas Dinkel."—  Präsentation transkript:

1 Malware Seminar Internettechnologie Andreas Dinkel

2 Page 2 Gliederung Was ist Malware? Verschiedene Typen der Malware: Computerviren Würmer Trojanische Pferde Spyware Rootkits I-Worm.LoveLetter Analyse des Quellcodes Pseudocode Schutzmaßnahmen Praxis-Teil

3 Page 3 Was ist Malware? Der Begriff Malware ist eine Abkürzung von "malicious software", d. h. böswillige Software. Computerprogramme, die entwickelt wurden, um vom Benutzer unerwünschte und ggf. schädliche Funktionen auszuführen. Dieser Begriff bezeichnet keine fehlerhafte Software, auch wenn diese Schaden anrichten kann. Malware wird von Fachleuten der Computersicherheitsbranche als Über- /Sammelbegriff verwendet, um die große Bandbreite an feindseliger, intrusiver und/oder unerwünschter Software oder Programmen zu beschreiben.

4 Page 4 Was ist Malware? Juli – September 2009 PandaLabs

5 Page 5 Computerviren Ein Virus ist ein Programm, das sich repliziert, indem es andere Programme infiziert, sodass diese eine Kopie des Virus enthalten. Ein Virus ist ein Programm, dessen Hauptaufgabe die Reproduktion (Verbreitung) durch Infizierung ist! Ein Virus muss also nicht zwingend destruktiv sein.

6 Page 6 Würmer primäres Ziel Reproduktion, wie bei Viren andere Verbreitungsweise als bei Viren Verbreitung finden über Systeme,Schwachstellen von Betriebssystemen/Diensten statt sind nicht auf ein Wirtsprogramm angewiesen

7 Page 7 Trojanische Pferde Das primäre Ziel von Trojanern ist die versteckte Ausführung von bestimmten Funktionen im Auftrag eines Angreifers haben immer eine versteckte Schadensroutine Die Reproduktion spielt wenig bis kaum eine Rolle tarnen sich für Benutzer als nützliche Programme/Funktionen schwer erkennbar,weil keine massenweise Verbreitung arbeiten sehr oft als Client-/Server Applikation, d.h. sie sind von einem entfernten Angreifer fern steuerbar (Backdoors, Rootkits)

8 Page 8 Trojanische Pferde Funktionen: – Ausspähen und Übermittlung von Benutzerdaten (Online-Dienste, Passwörter, Kreditkartennummern, Bankzugänge usw.) – Aufzeichnung und Übermittlung von Tastaturanschlägen (Keylogger) – Durchsuchen des Rechners und Übermittlung von Passwortdateien und Dokumenten

9 Page 9 Spyware Erweiterung von Adware ( werbefinanzierten Software) Funktion der Werbezusätze ist nicht immer nachvollziehbar sammelt teilweise recht umfangreiche Daten des Benutzer – Surfverhalten, Kreditkartennummern, Adressdaten usw.

10 Page 10 Rootkits ist eine Sammlung von Softwarewerkzeugen verhindern, das der Einbruch ins System bemerkt wird Dem Angreifer ermöglichen, das System dauerhaft zu kontrollieren Dem Angreifer ermöglicht weitere Systeme anzugreifen keine Reproduktion und eigene Schadfunktion

11 Page 11 Rootkits Fähigkeiten: – Das Verbergen von Dateien, Prozessen, offene Ports, usw. vor den Benutzern des Systems – Verändern der System-Logs, zum Beispiel um Anmeldungsvorgänge zu verstecken – Verändern von Systemstatistiken um normalen Betrieb vorzutäuschen – Eventuell aktive Abwehr von Sicherheitssoftware

12 Page 12 I-Worm.LoveLetter 4 Mai Jahr 2000 Rund um die Welt in 1-2 Tagen Schäden in Milliardenhöhe ist ein Visual Basic Scriptvirus Ausbreitung findet über Windows- proramme statt (Outlook) Mailprogramme die aktive Inhalte ausführen können oder dürfen Quellcode ohne Probleme lesbar in Oktober schon 92 Varianten

13 Page 13 I-Worm.LoveLetter Quelle: Analyse einiger typischen Computerviren, Nikolaus Rameis

14 Page 14 Analyse des Quellcodes sub main () Programmierer hat sich selbst verewigt wenn Laufzeitfehler auftritt den Script weiter fortsetzten und nicht abbrechen objektorientiert auf das ganze Funktionsspektrum vom Windows Scripting Host zugreifen

15 Page 15 Analyse des Quellcodes sub main() hier werden spezielle Verzeichnisse C:\WINDOWS, C:\WINDOWS\SYSTEM, C:\WINDOWS\TEMP in Erfahrung gebracht Mit GetFile erfährt der Worm seinen eigenen Dateinamen, um... sich selbst ins Windows- und Windows-System- Verzeichnis zu kopieren diese Dateien werden mit jedem Windows-Start ausgeführt

16 Page 16 Analyse des Quellcodes sub regruns() zwei Autostart Möglichkeiten in Windows-Registry aus der Registry wird der IE Standard-Download-Verzeichnis ausgelesen kein Verzeichnis definiert wird eine angelegt

17 Page 17 Analyse des Quellcodes sub regruns() hier wird überprüft, ob der WIN-BUGFIX.exe – Trojaner heruntergeladen und installiert worden ist

18 Page 18 Analyse des Quellcodes sub regruns() hier wird der Trojaner in die Registry eingetragen und die Startseiten von IE auf blank gesetzt

19 Page 19 Analyse des Quellcodes sub listadriv() fso.Drives gibt die Anzahl der Laufwerke in dc zurück für jedes gefundenes Laufwerk(lokale und Netzlaufwerke) wird mit subroutine forderlist() eine Verzeichnisliste angelegt

20 Page 20 Analyse des Quellcodes sub infectfiles(folderspec) fc gibt die Anzahl der Dateien in angegebenen Verzeichnis an wenn die Dateierweiterung passt, wird die infiziert (überschrieben) Infektion von Visual Basic Script-Dateien

21 Page 21 Analyse des Quellcodes sub infectfiles(folderspec) die angegebene Datei wird mit eigenen Code überschrieben Infektion von JavaScripts, CascadingStyleSheets, Windows Scripting Host, oder anderen HTML-Dateien kopiere den Namen der Datei (tolles_bild.jpg) erstelle eine neue mit dem eigenen Code (tolles_bild.jpg.vbs) lösche das Original

22 Page 22 Analyse des Quellcodes sub infectfiles(folderspec) alle Wirtsdateien werden zerstört, außer mp3 und mp2 von denen erstellt der Wurm eine Kopie hier wird die mIRC Script-Datei geöffnet und verändert

23 Page 23 Analyse des Quellcodes sub infectfiles(folderspec) hier wird per mIRC eine infizierte HTM Datei verschickt

24 Page 24 Analyse des Quellcodes sub infectfiles(folderspec) Quelle: Analyse einiger typischen Computerviren, Nikolaus Rameis

25 Page 25 Analyse des Quellcodes sub spreadtomail() CreateObject(Outlook.Application) ist für die Kommunikation mit dem -Programm zuständig. Funktioniert nur mit Outlook 97 und 2000 und nicht mit dem Express-Versionen mapi.AdressLists.Count gibt die Anzahl der Kontakte im Outlook zurück

26 Page 26 Analyse des Quellcodes sub spreadtomail() wenn der Registry-Eintrag leer ist, der Brief wurde noch nicht verschickt hier wird der Brief verfasst

27 Page 27 Analyse des Quellcodes sub spreadtomail() hier wird vermerkt das der Brief verschickt wurde

28 Page 28 Pseudocode

29 Page 29 Schutzmaßnahmen Anti-Virus Programm, Firewall Updates von Betriebssystemen, Anti-Virus Programmen, Webbrowser usw. Vorsicht bei öffnen der Mails Programme von Herstellerseiten benutzen Nicht vertrauenswürdige Seiten meiden

30 Page 30 Quelle Quarterly Report PandaLabs July-Semptember 2009 Analyse einiger typischen Computerviren, Nikolaus Rameis Rootkits, Johannes plötner ende-t28659.html _Begriffserklaerung_Teil_1.html

31 Vielen Dank für Ihre Aufmerksamkeit! Fragen?

32 Page 32 Praxis-Teil DNS/ARP-Spoofing,MITM-Attacke ms exploit (IE7) – Remotecodeausführung Tools – ettercap & Metasploit Framework 3


Herunterladen ppt "Malware Seminar Internettechnologie Andreas Dinkel."

Ähnliche Präsentationen


Google-Anzeigen