Gefährliche Liebespost. Von Loveletter und anderen Computerviren Ein Beitrag des ZDV zur Reihe „What‘s love“ Im Rahmen des Tages der offenen Tür 2002 Referent: Stefan Röhle, ZDV

Zentrum für Datenverarbeitung Rechenzentrum der Universität Zentrale Einrichtung der JoGu Dienstleistungen für Studenten und Mitarbeiter E-Mail, Internetzugang, Speicherplatz Kurse, Online-Learning Scannen, Posterdruck, DTP Verleih: Digitale Kameras, Beamer Datensicherung, Virenschutz Administration zentraler und verteilter Rechner Weitere Infos: Stand alte Mensa, NatFak (N) www.zdv.uni-mainz.de Faltblatt Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

Übersicht Was sind Computerviren? Wie verbreiten sich Computerviren? Wie kann ich mich davor schützen? Zusammenfassung Links (Verwendete Quellen: In den Links angegebene Webseiten) Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

1. Was sind Computerviren? Programme (oder Skripte), die sich selbst ver-vielfältigen können und oft Schadfunktionen (malicious code) enthalten. Bootsektor Viren Parasitische Viren („klassischer“ Virus) Würmer Trojanische Pferde (Trojaner) Hoaxes Makro-Viren (Word, Excel etc.) Bootsektor Viren: „parity boot“ der Klassiker Würmer: Loveletter gehört teilweise in diese Gattung Makro-Viren: z.B. Word-, Excel- und Powerpoint-Dokumente Trojaner: BackOrifice, SubSeven, T-Online-Hack Hoaxes: „GoodTimes“ der Klassiker In diesem Vortrag: Hoaxes, Würmer und Trojaner Bemerkung Abgesehen von Hoaxes kommt die Mehrheit der Viren auf Microsoft-Betriebssystemen vor... Früher waren Viren meist direkt ausführbarer Code, heutzutage geht es vielfach über Skriptsprachen, die von Virtuellen Maschinen interpretiert werden (Word, Web-Browser, WSH, etc.) Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

Allgemeine Schadwirkungen Löschen von Daten Datenkorruption Datendiebstahl Beanspruchung von Ressourcen Neben dem offensichtlichen Schaden entsteht weiterer Schaden: unwiederbringlicher Datenverlust Umsatzausfall Fehlkalkulationen Verlust von Informationen (u.U. Sicherheitsrelevant) Verlust von Aufträgen bei Crash von Mailserver Verlust des Rufes Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

Hoaxes (1/2) (Hoax: Scherz, Falschmeldung) E-Mails, die zur Weiterleitung animieren, und deren Inhalt zweifelhaft ist. Viruswarnungen Glücksbriefe, Kettenbriefe „Make money, fast!“ (Pyramidensystem) „Tränendrüsen-Briefe“ Viruswarnungen falsche Angaben zu Virenfähigkeiten (z.B. Hardware zerstören) Firmen werden genannt (z.B. IBM, Microsoft) Enthalten die explizite Aufforderung, die Mail weiterzuleiten Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

Hoaxes (2/2) Schadwirkung Verunsicherung der Benutzer Zeitverschwendung Erhöhtes Mailaufkommen durch Schneeballsystem (Kettenbriefe), vergleichbar mit „echten“ Viren Maßnahme Löschen der E-Mail! Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

Trojaner Klassische Trojanische Pferde sind Programme, die vordergründig nützlich sind, im Hintergrund aber ihre wahren Aktivitäten entfalten. Moderne Trojaner führen nur noch unbemerkt ihre Schadfunktionen im Hintergrund aus. Klassische Trojaner-Verstecke: Spiele Software-Updates Tools Moderne Trojaner: Makros: Word, Excel etc. WSH (Windows Scripting Host) VBS (Visual Basic Scripting) Was machen die Trojaner so im Verborgenen? Passwörter für Online-Dienst, Mail-Accounts/Webseiten/FTP/ Kreditkarten-Nr., Konten etc. ausspähen und verschicken Backdoor-Server Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

Würmer Würmer erstellen Kopien von sich und ver- breiten sich selbst z.B. über das Netzwerk oder per E-Mail. Heutzutage: Oft werden Wurm- und Trojanereigenschaften kombiniert eingesetzt! Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

2. Wie verbreiten sich Computer- viren? Ohne Benutzer Nutzen Schwachstellen im Netzwerk aus Nutzen Schwachstellen in Software aus Durch „Hilfe“ des Benutzers Anklicken des E-Mail-Anhangs Ausführen von heruntergeladenen Programmen Dabei wird der Benutzer meist getäuscht und ausgetrickst, damit er den Virus aktiviert! Würmer benötigen kein Überträgermedium (CD-ROM, Diskette, Programm) Automatisch: Verbreitung über Netzwerk Halbautomatisch: „Mithilfe“ des Benutzers nötig Gutgläubiges Anklicken des Attachments Verwenden eines unsicheren Mailprogramms (Outlook 98, Outlook Express) Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

Viren TOP TEN Quelle: http://www.sophos.com/virusinfo/topten/ Die Beispielhaft herausgegriffenen Viren haben allesamt Angriffe auf das ZDV versucht (keine rein akademische Behandlung...) Quelle: http://www.sophos.com/virusinfo/topten/ Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

Loveletter (alias LoveLet-A) Entdeckt im April 2000 Über E-Mail verbreitet Subject: „ILOVEYOU“ Message: „kindly check the attached LOVELETTER coming from me“ Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs Trick Ausnutzen der unterdrückten Dateiendung bei Standardinstallation - das Attachment erscheint nur als LOVE-LETTER-FOR-YOU.TXT Dadurch Tarnung eines Skriptes als Textdatei Auch: I LOVE YOU genannt Gefahr: Viele Leute vertrauen Attachments blind Wenn irgendwo steht: „Bitte hier klicken“ dann klicken viele Leute dahin Auch Attachments von bekannten Absendern können Viren enthalten! Tarnung des eigentlichen Inhalts der Anlage durch Standardinstallation Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

Loveletter Bei Ausführen des Attachments passiert folgendes... Erstellt Kopien von sich auf der Festplatte Hinzufügen von Registry-Einträgen, damit der Trojaner bei Systemstart automatisch ausgeführt wird Ersetzt und löscht Dateien (lokal und im Netzwerk!) picture.jpg -> picture.jpg.vbs, Original gelöscht .vbs Dateien durch Kopie von sich ersetzt music.mp3 -> Attribut ‚hidden‘ -> music.mp3.vbs LOVE-LETTER-FOR-YOU.HTM wird an IRC versendet Verschickt sich selbst an alle Benutzer im Outlook-Adressbuch Download eines Passwort-Schnüffelprogramms (Trojaner) ebenfalls in Registry eingetragen zum automatischen Start schickt Passworte an mailme@super.net.ph Nutzt den WSH Kopien in \Windows (WIN32DLL.VBS) Kopien in \Windows\System (MSKERNEL32.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS, LOVE-LETTER-FOR-YOU.HTM) Registry HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32=WINDOWS\SYSTEM\MSKernel32.vbs HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL=WINDOWS\Win32DLL.vbs Überschreiben .jpeg analog .jpg .vbe, .js, .jse, .css, .wsh, .sct, .hta -> Kopie von sich und Extension in .vbs geändert mp2 analog .mp3 IRC mIRC benutzt, script.ini wird verändert Passwort-Schnüffler WIN-BUGSFIX.EXE Passworte zu: Mailprogramm, RAS Weitere Daten: Username, Hostname, IP-Address HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX WIN-BUGSFIX.EXE ersetzt WinFAT32.EXE durch sich selbst, HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ WinFAT32=WinFAT32.EXE Hat viele Trittbrettfahrer (Varianten) nach sich gezogen! Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

BadTrans-B (Platz 1 Januar) ausführbare Datei als E-Mail Attachment Message: „Take a look at the attachment“ Attachment: zufällig aus Liste, z.B. fun.pif, docs.scr, Me_nude.AVI.pif Eintrag in Registry E-Mail Versand per Outlook Antwortet auf gelesene und ungelesene Mails Verschickt sich an Adressen, die in .asp, .ht* Dateien gefunden werden Verwendet Absender aus Liste, z.B. admin@gte.net, tina0828@yahoo.com Antwortadresse wird leicht geändert, so dass Reply unmöglich ist Subject: Re: Attachment: aus Liste, z.B. docs.DOC.pif, Humor.MP3.scr installiert Keylogger (Trojaner) .scr: Bildschirmschoner .pif: Programm Information File für alte DOS-Anwendungen HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\kernel32=kernel32.exe Reply „_“ vor Reply-Adresse Keylogger KDLL.DLL Informationen werden an Virusautor(en) gemailt Info This new variant uses the iframe exploit and incorrect MIME header to run automatically on unpatched systems. See Microsoft Security Bulletin (MS01-020) for more information and a patch. Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

MyParty-A (Platz 2 Januar) ausführbare Datei als E-Mail Attachment Subject: „new photos from my party!“ Message: „Hello! My Party... It was absolutely amazing! I have attached my web page with the new photos! If you can please make color prints of my photos. Thanks“ Attachment: Datei www.myparty.yahoo.com 25.-29.1.2001 Kopie von sich an jeden in Windows Adressbuch verschickt Win9x/ME: Kopie von sich nach C:\Recycled\regctrl.exe + ausführen derselben WinNT/2K/XP: Kopie nach C:\regctrl.exe + ausführen derselben; Kopie der Datei MSSTASK.EXE in Ordner „Autostart“ (Backdoor Trojaner) Habe ich selbst vor ca. 2 Wochen per email erhalten... Innerhalb von 5 Tagen auf Platz 2 -> enorme Verbreitungsrate!!! www.myparty.yahoo.com sieht aus wie eine Web-Site viele User wissen nicht, dass ausführbare Programme die Endung .com haben können Verschicken der email standard SMTP (simple mail transfer protokoll) des Benutzers wird verwendet HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\00000001 Adressen aus .dbx Dateien Datum nicht 25.1.-29.1.2002 If the date is not between January 25-29, 2002, the worm copies itself to C:\Recycled as F-[random number]-[random number]-[random number] with no extension Bemerkungen Keine Änderungen an Registry oder .ini Dateien Kein Versuch, sich selbst zu starten email an napster@gala.net um Verbreitung zu tracken Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

Sircam-A (Platz 4/Januar, Platz 2/2001) 1/2 Verbreitung per E-Mail oder offene Netzwerk-Freigaben Versand von E-Mail über eigene SMTP Routine Adressen aus Windows Adressbuch Text aus Liste auf Englisch oder Spanisch Subject: zufällig, siehe Attachment Message: „Hi! How are you? I send you this file in order to have your advice. See you later. Thanks“ Attachment: Dateiname identisch mit Subject, doppelte Endung, z.B. .doc.com, .mpg.pif Achtung: Versendet Dokumente des Users aus „Eigene Dateien“! Platz 3 wurde weggelassen The worm then sends itself out with one of the document files it found in a users's 'My Documents' folder. Liste (Englisch): "I send you this file in order to have your advice“ "I hope you like the file that I sendo you“ "I hope you can help me with this file that I send“ "This is the file with the information you ask for" Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

Sircam-A (Platz 4/Januar, Platz 2/2001) 2/2 erstellt Kopie von sich nach \Windows\System\sirc32.exe und ebenfalls versteckt in den Papierkorb (auch im Netz) Eintrag in Registry zum Start beim Systemstart Kopie in Windows-Verzeichnis von verbundenem Rechner rundll32.exe -> run32.exe, Viruscode -> rundll32.exe Modifikation der autoexec.bat zum Aufruf der Datei aus Papierkorb weiterer Schadcode 1:50 Chance, dass Datei Sircam.sys in Papierkorb erzeugt wird und gefüllt wird, bis Festplatte voll ist Glück: weitere Schadfunktion enthält Bug... Registry HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Driver32 HKCR\exefile\shell\open\command (Classes Root) HKLM\Software\SirCam to save data used internally by the worm code rundll32.exe: Funktionsbibliothek Sircam.sys [SirCam_2rp_Ein_NoC_Rma_CuiTze0_MicH_MeX] [SirCam Version 1.0 Copyright - 2000 2rP Made in / Hechoen -Cuitzeo, Michoacan Mexico] The virus contains a destructive payload that can be activated if one of the standard files W32/Sircam drops (for instance, Sirc32.exe or Scam32.exe) is renamed and then launched. The virus author also intended this payload to trigger on 16 October, with a 1 in 20 chance, if the infected computer's date settings had been set to display date in dd/mm/yyyy format (for instance, 16/10/2001). However, because of a bug in the virus code this date payload is not activated. Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

Nimda-A (Platz 5/Januar, Platz 1/2001) 1/2 Verbreitung per E-Mail, Netzwerk-Freigaben und Websites Befallene E-Mails enthalten zufälliges Subject, Attachment meist „README.EXE“ Versuch, Sicherheitslücke in Microsoft Outlook, Microsoft Outlook Express oder Internet Explorer auszunutzen (Versand ohne Hilfe des Users) Virus verschickt sich an Adressen, die er auf Rechner findet (Outlook, Outlook Express, HTML-Dateien) Kopien des Attachments in Windows-Verzeichnis load.exe und riched20.dll (Attribut „versteckt“) lokal und im Netzwerk Modifikation der system.ini, damit Virus bei Windowsstart ausgeführt wird Message-Text: nicht vorhanden WinNT/2K systems cannot be infected from an email message. system.ini shell=explorer.exe load.exe –dontrunold Versand Subject entweder leer oder enthält Teile eines Registry-Keys Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

Nimda-A (Platz 5/Januar, Platz 1/2001) 2/2 gibt jedes lokale Laufwerk frei kopiert sich auf alle freigegebenen Laufwerke in jedes Unterverzeichnis (im .eml Format) infiziert .exe Dateien Suche nach „verwundbaren“ IIS „Code-Upload per Sicherheitsloch“ Port-Scanning erzeugt viel Traffic Dann: Infektion per Webseite an .asp, .htm, .html Seiten wird JavaScript Code angefügt, der zuvor abgelegte E-Mail (README.EML) öffnet und so den betrachtenden Client infiziert und, und, und... Aber: Kein Schadcode!!! WinNT/2K systems cannot be infected by accessing an infected .ASP, .HTM, or .HTML document. .eml: Outlook Mail Dateiformat Laufwerksfreigabe WinNT/2K: GUEST wird Zugriff auf Freigabe gestattet GUEST in Gruppe ADMINISTRATORS sowie GUESTS hinzugefügt Neustart erforderlich HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares\Security wird gelöscht, um Freigabensicherheit unter NT/2K zu hintergehen IIS Laden durch Sicherheitslücke Virus-Code runter und führen ihn aus und, und, und... A MIME encoded version of the worm is created in each folder on the system (often as README.EML or DESKTOP.EML, can also be .NWS files). This can create a lot of files and in some cases even fill up a hard disk. The WININIT.INI file may be used to delete specific worm files upon reboot: NUL=C:\WINDOWS\TEMP\MEP52b0.TMP.exe Registry key values are created/changed to hide files: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden The worm saves a copy of itself to C:\, D:\, and E:\ as ADMIN.DLL Note: a valid ADMIN.DLL does exist and is part of the Microsoft FrontPage Server Extensions functionality Filenames for the worm include: ADMIN.DLL, LOAD.EXE, MMC.EXE, README.EXE, RICHED20.DLL, MEP*.TMP.EXE Note: applications which utilize the rich text format, such as Microsoft Word and Wordpad, call this RICHED20.DLL file. As such, the worm is executed when a dependant program is run. There is typically a valid RICHED20.DLL file in the WINDOWS SYSTEM directory, but this is overwritten by the virus. Additionally, the virus may also save itself as RICHED20.DLL in directories which contain .DOC files when infecting via network shares. This will result in that infected .DLL being called when a machine accesses that .DOC file. Note: MMC.EXE is the name for the Microsoft Management Console application. It has been reported that the worm can in fact overwrite this file. The virus contains the string : Concept Virus (CV) V.5, Copyright (C) 2001 R.P.China Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

Motivation der Virus-Autoren Ansehen bei „Kollegen“ Machtgefühl in Cyberwelt „Proof of concept“ (ohne Schadfunktionen) Forschung (?) Vergleichbar: Graffiti, Vandalismus Allerdings ist der verursachte Schaden viel größer! Kein Nutzen für Finanzen oder Karriere Gegensatz zu Hackern: Keine gezielten Opfer Virusprogrammierer Männlich Unter 25 Single Machtgefühl: in wirklicher Welt keine Macht Forschung: Sehr zweifelhaft, da u.a. ernsthafte Kontrolle der Ergebnisse kaum möglich, zufällig losgelassene Viren auf nichtsahnende Benutzer Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

3. Wie kann ich mich davor schützen? Virenscanner installieren! regelmäßiges Update! Material aus „unsicheren“ Quellen scannen, ggf. löschen System regelmäßig scannen Mailprogramm sicherer machen! Bugfixes installieren Scriptingfunktionen deaktivieren (WSH, JavaScript,...) Anlagen/Downloads nicht unüberlegt doppelklicken/ausführen Dokumentformate mit Makroinhalt vermeiden! Kein .doc / .xls, sondern .txt, .rtf Versteckte Dateiendungen sichtbar machen! Regelmäßig Backups anfertigen! Erst denken, dann klicken! Ein Virenscanner ohne Update ist so gut wie kein Virenscanner! Im Januar 2002: 13 neue Viren Sophos, 16 neue Viren NAI Anhang anklicken/ausführen Analogie: Wenn Ihnen auf der Straße ein Bonbon anbietet – essen Sie es dann sofort? Viewer für Worddokumente verwenden! Versteckte Dateiendungen Win98: Im Explorer „Ansicht->Ordneroptionen->Ansicht“ WinXP: Im Explorer: „Extras->Ordneroptionen->Ansicht“ Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

4. Zusammenfassung Virus ist ein Oberbegriff Austricksen der Benutzer Austricksen: Neugier der Benutzer geweckt Sex Geld Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

5. Links www.nai.com www.sophos.com www.f-secure.com www.trojaner-info.de www.tu-berlin.de/www/software/hoax.shtml www.wildlist.org www.virusbtn.com www.nai.com, www.sophos.com, www.f-secure.com Hersteller von Antivirenprogrammen -> Download von Testversionen www.trojaner-info.de selbstredend www.tu-berlin.de/www/software/hoax.shtml Infos über Hoaxes www.wildlist.org, www.virusbtn.com u.a. welche Viren zur Zeit „in freier Wildbahn“ existieren Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

Vielen Dank für Ihre Aufmerksamkeit und noch viel Spaß an der Das war‘s! Vielen Dank für Ihre Aufmerksamkeit und noch viel Spaß an der Johannes-Gutenberg Universität! Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

Dateinamenserweiterungen Versteckte Dateiendungen Win98: Im Explorer „Ansicht->Ordneroptionen->Ansicht“ WinXP: Im Explorer: „Extras->Ordneroptionen->Ansicht“ zurück Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

Hoax-Beispiel zurück VIRUS WARNING!!!!!!! This is really important. Please read this!!!!! If you receive an e-mail titled XXXXXXXXXXX or YYYYYYYYYYY do not open it!!!!! It will erase EVERYTHING on your hard drive! Send this letter out to as many people as you can....this is a new virus and not many people know about it!! This information was received this morning by IBM, please share it with anyone that might access the Internet!!! This virus will destroy your hard drive and holds the potential to DESTROY the hard drive of anyone whose mail is in your box and whose mail is in their box and so on and on!!!!! So delete any message titled XXXXXXXXXXX or YYYYYYYYYYY …this virus can do major DAMAGE to worldwide networks!!!! PLEASE PASS THIS ALONG TO ALL YOUR FRIENDS AND PEOPLE IN YOUR MAILBOXES. AOL HAS SAID THIS IS A VERY DANGEROUS VIRUS AND THERE IS NO REMEDY FOR THIS...FORWARD IT TO ALL YOUR ON-LINE FRIENDS A.S.A.P.!!!!!!!!!!!!!!!!!! zurück Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002