Viren, Würmer, Trojanische Pferde, Hoaxes, Zombies, 0190-Dialer Computerviren Viren, Würmer, Trojanische Pferde, Hoaxes, Zombies, 0190-Dialer
Gliederung Der Computer Geschichte der Computerviren Virenautoren Würmer Trojanische Pferde Hoaxes Zombis 0190-Dialer Tendenzen Schutz
1. Der Computer
1.1. Boot BIOS sucht Bootsektor BIOS lädt Betriebssystem (OS) OS lädt Treiber Desktop anzeigen Startup-Programme ausführen
2. Geschichte 1949 v. Neumann: Selbst-reproduzierende Programme 1975 Brunner: „Tapeworm“ 1984 Fred Cohens Doktorarbeit 1986 „Brain“-Virus 1987 Erster Virenscanner McAffee, 19 Viren. 1988 Internet-Worm 1992 „Michelangelo“ 1999 „Melissa“ 2000 „I Love You“
3. Virenautoren: Motivation Männlicher Nerd, unter 25 Jahre Machtgefühl Reichweite überprüfen Geltungsdrang in der Szene Vandalismus Sabotage Erpessung
Phantasmen Cyber-Punk Über-Cracker Omnipotenz Technozid Dark Angel's Phunky Virus Writing Guide ---- ------- ------ ----- ------- ----- Virii are wondrous creations written for the sole purpose of spreading and destroying the systems of unsuspecting fools. This eliminates the systems of simpletons who can't tell that there is a problem when a 100 byte file suddenly blossoms into a 1,000 byte file. Duh. These low-lifes do not deserve to exist, so it is our sacred duty to wipe their hard drives off the face of the Earth. It is a simple matter of speeding along survival of the fittest.
Phantasmen: Quellen Science-Fiction, Techno-Fiction (Viren als ultimative Waffe im Kampf Mensch/Maschine) Medienkonstruktionen (Karl Koch, Kevin Mittnick) Wahl der Metaphern Vermenschlichung des Computers Maschinisierung des Menschen
4. Virus Programm Selbst-Reproduzierend Infizierend Mit oder ohne Schadensfunktion
Klassifikationen 4.1. Klassifikation nach Wirt 4.2. Klassifikation nach Schaden 4.3. Klassifikation nach Funktion
4.1. Klassifikation nach Wirt Bootsektor (Floppy) Master Boot Record (HD) Programm Multipart (Boot + Datei) Dokument (Makro) [Email-Attachment]
Dateiviren-Arbeitsweise +----------------+ +------------+ | P1 | P2 | | V1 | V2 | The uninfected file The virus code +---------------------+ | P1 | P2 | P1 | | V1 | P2 | P1 | +-----------------------------+ | V1 | P2 | P1 | V2 |
Datei-Virus-Aufbau Signatur Infektion (Replikator) Tarnmechanismus (Concealer) Destruktor (Bomb) Programmfortsetzung
Dateivirus-Ausführen Aufruf des infizierten Programms (z.B. Autostart) Laden des Programms Start des Programms Ausführen des Virus Fortsetzung des Programms
Macroviren-Aufbau Autoexec-Macro infiziert Normal.dot FileSaveAs, FileSave, FileOpen, ToolsMacros Schadensroutine
Macroviren-Ausführen Laden des infizierten Normal.dot Laden eines sauberen Dokuments FileOpen, AutoOpen Infizieren des Dokuments Ausführen der Schadensfunktion PayLoad
4.2. Klassifikation nach Schaden Ressourcenverbrauch Technische: Speicher, Prozessorzeit Menschliche: Arbeitszeit, Reparatur Vermehrung Destruktiv Absichtlich: Logische Bomben Unabsichtlich Ziel (z.B. Anti-Virus-Virus)
Schaden Nachrichten -> Musik Datenverlust -> Datenspionage Partielle Ausfälle Hardwareausfälle hllc-dosinfo
4.3. Klassifikation nach Funktionsweise Resident (TSR) Überschreibend (Overwriting) Getarnt (Stealth) Verschlüsselt Polymorph
Virenmythen Autonome Entitäten Plattformunabhängig Unmittelbare Wirkung Universelle Hintertür Subversives Herrschaftswissen Quellen: s.o.
5. Würmer Selbst-reproduzierend Nicht-infizierend Mailwürmer Attachments Stealth (loveletter.txt.vbs) MAPI
Epidemie Code Red: Do, 19 Juli 2001
6. Trojanische Pferde Nicht-Reproduzierend Nicht-Infizierend Verdeckte Schadensroutine Password Sniffer Backdoor (Back Orifice) dDOS
7. Hoaxes/Kettenbriefe Soziale Viren Aufbau Aufhänger Drohung Aufforderung Erkennungsmerkmale Technische Sprache Glaubwürdigkeit durch Autorität „Schick mich an Alle!“
Hoax Beispiel 1/3 Der Aufhänger > Subject: Viruswarnung > > Es wurde gerade ein neues Virus festgestellt, den Microsoft und > McAfee als den bisher gefährlichsten Virus überhaupt bezeichnen! > Dieses Virus wurde erst am Freitag nachmittag von McAfee > festgestellt und wird noch nicht von Virenscannern erkannt. Das > Virus zerstört den Null-Sektor der Festplatte, wo wichtige > Informationen für die Funktion der Festplatte gespeichert sind.
Hoax Beispiel 2/3 Die Drohung > Die Funktionsweise des Virus ist wie folgt: > > Das Virus versendet sich automatisch an alle Kontaktadressen > aus dem Email-Adressbuch und gibt als Betrefftext > "A Virtual Card for You" an. > Sobald die vorgebliche virtuelle Postkarte geöffnet wird, > bleibt der Rechner hängen, sodass der Anwender einen Neustart > vornehmen muss. > Wird nun die Kombination [Strg]+[Alt]+[Del] oder der Reset-Knopf am > Rechnergehäuse gedrückt, löscht das Virus den Null-Sektor der > Festplatte, womit die Festplatte dauerhaft unbrauchbar ist. Wenn Sie > also eine Nachricht mit dem Betreff "A Virtual Card for You" > erhalten, öffnen Sie diese mail KEINESFALLS, sondern löschen Sie die > Nachricht sofort. > Am Freitag hat dieses Virus Innerhalb weniger Stunden geradezu eine > Panik unter EDV-Usern in New York verursacht, wie CNN berichtet > http://www.cnn.com <http://www.cnn.com > <http://www.cnn.com<http://www.cnn.com> >> .
Hoax Beispiel 3/3 Die Aufforderung > Bitte leite das vorliegende Mail an alle Personen in Ihrem > Email-Verzeichnis weiter. Es ist sicherlich besser, diese > Nachricht 25 Mal zu erhalten, als gar nicht!
8. Zombies Beendeter Prozess ohne Speicherfreigabe Untotes Programm
9. 0190-Dialer DFÜ-Einwähler jochen.koubek@hu-berlin.de
10. Tendenzen Datei und Boot-Viren rückläufig Netzwerkviren Cross-Application Macro-Viren über VBA Email-Würmer 0190-Dialer Virus-Construction-Kit WAP / PDA -Viren Mutierende bzw. Polymorphe Viren
Viren Top Ten 12/2001
Viren Top Ten 08/2002
Hoax Top Ten 08/2002 jochen.koubek@hu-berlin.de
11. Schutzmöglichkeiten Risiko: ungeschützter Software-Tausch mit häufig wechselnden Tauschpartnern Risiko: Unsichere Mail-Clients
Prävention Aufklärung Backups anlegen Keine dubiosen Attachments öffnen Keine Kettenbriefe weiterleiten Antivirensoftware Monitore Authentizitätsprüfer Scanner Heuristische Scanner
Behandlung Restaurierung (Backup) Desinfektion Serum Pflaster (Patches) Impfung
Bookmarks http://www.tu-berlin.de/www/software/antivirus.shtml Die vermutlich umfangreichste deutschsprachige Bookmarksammlung. Hier gibt es Links zu Herstellern von Antivirus-Software, Grundlagentexte und bei Bedarf einen Newsletter. http://www.tu-berlin.de/www/software/hoax.shtml Informationen über E-Mail Falschmeldungen (Hoaxes). Ein Verdacht auf einen Virus-Hoax sollte auf dieser Seite überprüft werden. http://www.sophos.de Sophos ist ein Hersteller von Antivirus-Software. Die Site ist sehr informativ aufgebaut. Viele Informationen und Neuigkeiten aus der Virusszene. Bei Bedarf kann man sich einen Newsletter mit aktuellen Viruswarnungen zuschicken lassen. http://www.sophos.de/virusinfo/whitepapers/ Grundlagenartikel von Sophos über Computerviren. http://www.heise.de/ct/antivirus/ Die Zeitschrift c't des Heise-Verlags bietet kompakte Informationen und viele Bookmarks. Insbesondere Links zu Antivirus-Software. http://www.heise.de/ct/antivirus/emailcheck/ Überprüfung des E-Mail-Clients auf bekannte Sicherheitslücken.
Ende