Viren, Würmer und TrojanerUberleben im Schadlingsdschungel, 1. Teil.
Thomas Hildmann
FSP-PV/PRZ TU Berlin
i.A. der TU Berlin Weiterbildung – p.1/24
Thomas Hildmann
WissenschaftlicherMitarbeiter amFSP-PV/PRZSeit 6 Jahren tätig imBereich IT-SicherheitSpezialgebiete:
RollenbasierteZugriffskontrolleSicherheitskonzepteAlternativeBetriebssysteme
i.A. der TU Berlin Weiterbildung – p.2/24
Vorstellungsrunde
Name
Tätigkeit / Arbeitsbereich
Grund für die Kursteilnahme
Vorkenntnisse
gewünschte Inhalte
i.A. der TU Berlin Weiterbildung – p.3/24
Aufbau des Kurses
1. Termin: Vorstellen, Überblick, Was sind Viren undWürmer?, Statistiken, Beispiele, Gegenmaßnahmen,regelmäßige Tätigkeiten
2. Termin: Trojaner, Hoaxes, Phishing, Kettenbriefe, Frauts,Qualifikation und Motivation von Autoren, Virenwächter,Was tun nach Virenbefall?
3. Termin: Übungen, Nutzung von Boot-CDs, Zum ThemaTrusted Computing
i.A. der TU Berlin Weiterbildung – p.4/24
Wissen über Malware
Lassen Sie uns kurz Stichpunkte zusammen-tragen, was über das Thema Viren, Würmerund Trojaner bereits bekannt ist.
i.A. der TU Berlin Weiterbildung – p.5/24
Inhalt
die Anatomie eines Virus
die Anatomie eines Wurms
ein paar Beispiele für Viren und Würmer (Top 20)
Wo gibt es Informationen über Viren?
Regeln gegen Virenbefall
Wie erkenne ich Virenbefall?
i.A. der TU Berlin Weiterbildung – p.6/24
Vorab klargestellt...
Mein Standpunkt zu Viren:Wissenschaftliches Interesse an MalwareInteresse an ProgrammierdetailsFaszination des Ideenreichtums
aber...Computermanipulation ist zurecht strafbarPersonen, die Viren in Umlauf bringen sindKriminelle
i.A. der TU Berlin Weiterbildung – p.7/24
Die Anatomie eines Virus
Vermehrungsteil: Verbreitung des Virus
Erkennungsteil: Verhindert Mehrfachinfektionen
Schadensteil: Beliebige Schadfunktionen
Bedingungsteil: Beeinflusst Vermehrung und Schaden
Tarnungsteil: Verstecken des Virus auf dem System
Unterarten:
Bootvirus
Linkvirus
Makrovirus
i.A. der TU Berlin Weiterbildung – p.8/24
Die Anatomie eines Wurms
Würmer sind den Computerviren konzeptionell sehr ähnlich.Die Abgrenzung besteht darin, dass ein Virus versucht,Dateien auf einem Computersystem zu infizieren, währendein Wurm versucht, eine Zahl von Computern in einemNetzwerk zu infizieren. Außerdem benötigt ein Virus einWirtsprogramm, welches es infiziert. Wird dieses Programmausgeführt, wird gleichzeitig auch das Virus ausgeführt. Beieinem Wurm handelt es sich dagegen um ein eigenständigesProgramm.Quelle: Wikipedia:Computerwurm
i.A. der TU Berlin Weiterbildung – p.9/24
Die Bedeutung von Malware
Beispiele für entstehenden Schaden:
Ressourcenverbrauch (Speicher, Netzwerk, ...)
Denial-of-Service (Betriebsausfall)
Manipulation oder Löschung von Daten
Ausspähen von Informationen
Vertuschung/Vorbereitung einer anderen Straftat
Zeitaufwand für Entfernung vonMalware/Neuinstallation
...
i.A. der TU Berlin Weiterbildung – p.10/24
Top 10 der Viren und Würmer
Quelle: Messagelabs VirenstatistikWerte in Millionen Registrierungen seit Erstellen derVirensignatur.
i.A. der TU Berlin Weiterbildung – p.11/24
Top 10 der letzten drei Jahre
Top ten viruses reported to Sophos January to June 2002
Others 22.4%W32/Nimda-A 1.1%
W32/FBound-C 1.8%W32/Magistr-A 2.0%W32/Sircam-A 2.8%
W32/Klez-E 3.0%W32/MyParty-A 3.7%W32/Magistr-B 4.0%W32/ElKern-C 6.3%
W32/Badtrans-B 23.5%W32/Klez-H 29.4%
Source: Sophos Plc www.sophos.com
Top ten viruses reported to Sophos January to June 2003
Others 49.6%W32/Yaha-E 1.8%
W32/Fizzer-A 2.3%W32/Avril-A 2.3%
W32/Bugbear-A 2.5%W32/Avril-B 3.2%
W32/Sobig-A 3.3%W32/Sobig-B 5.3%
W32/Klez-H 8.4%W32/Sobig-C 9.7%
W32/Bugbear-B 11.6%
Source: Sophos Plc www.sophos.com
Top ten viruses reported to Sophos January to June 2004
Others 18.1%W32/Bagle-A 1.2%W32/Sober-C 1.5%
W32/Netsky-C 2.4%W32/Netsky-Z 3.1%
W32/Zafi-B 4.0%W32/MyDoom-A 4.4%
W32/Netsky-D 6.8%W32/Netsky-B 11.0%W32/Netsky-P 21.4%
W32/Sasser 26.1%
Source: Sophos Plc www.sophos.com
i.A. der TU Berlin Weiterbildung – p.12/24
Malwarebeispiele 1
08.01.2002 Lirva kennt unzählige Verbreitungswege (E-Mail,IRC, ICQ, KaZaA, Laufwerkfreigaben und eine alteIE-Lücke) und schießt diverse Schutzprogramme ab.Viren schießen Schutzsoftware ab
21.05.2002 SQLslammer zu diesem Zeitpunkt der kleinsteInternetwurm. Seine Auswirkungen sind enorm.Trend Micro warnt vor Hackerangriff auf den MS-SQL Port
28.05.2002 Klez.H versendet sich über das Adressbuch,löscht Virensignaturen und versendet persönlicheDokumente.Klez.H überholt Sircam.A in der Virenstatistik
01.08.2002 In die Open Source-Implementierung von SSHwird ein trojanisches Pferd eingeschleust.Trojanisches Pferd in OpenSSH
i.A. der TU Berlin Weiterbildung – p.13/24
Malwarebeispiele 2
14.09.2002 Linux.Slapper.Worm befällt verschiedeneLinux-Systeme.Apache-Wurm nutzt OpenSSL-Loch
01.10.2002 Bugbear benutzt eine alte Sicherheitslücke inOutlook und muß nicht gestartet werden. Er öffnet eineHintertür und spioniert persönliche Daten aus.Neuer Windows-Wurm spioniert Daten aus
25.01.2003 Das erste Mal wird AlertCon 4 ausgerufen.SQLSlammer nutzt eine Sicherheitslücke aus, die 6Monate zuvor geschlossen wurde.SQLSlammer – winziger Wurm erzeugt riesigen Internet-Traffic
i.A. der TU Berlin Weiterbildung – p.14/24
Malwarebeispiele 3
05.04.2004 Fehlalarm bei Besuch der Webseite Freenet.de.Virenscanner löste Fehlalarm beim Besuch von Freenet aus
16.04.2004 NetSky.V verbreitet sich über eineSicherheitslücke im Internet Explorer und kommt ohneE-Mailversand aus.Auch neuer NetSky-Wurm verzichtet auf Mail-Anhang
19.04.2004 Zu Phatbot wird der Quellcode ohne Willen derProgrammierer offengelegt. Dies ermöglicht es vielenBenutzern mit Programmierkenntnissen, ihre eigenenVarianten zu schaffen.Superwurm mit öffentlichem Quelltext
i.A. der TU Berlin Weiterbildung – p.15/24
Malwarebeispiele 4
20.04.2004 NetSky.X gibt es jetzt auch in Schwedisch,Finnisch, Polnisch, Norwegisch, Portugisisch,Italienisch und Deutsch. Nun findet er auch inDeutschland große Verbreitung.Meet NetSky-X, the Babel Fish worm
10.05.2004 Sasser enthält einen Programmierfehler, überden fremder Code auf infizierten Rechnern ausgeführtwerden kann.Sicherheitsloch im Sasser-Wurm
15.06.2004 Sober.H verbreitet im Namen zufälliger,gefälschter Absender rechtsradikale E-Mails.BSI: "Absender" der rechtsradikalen Spam-Mails sind die eigentlichen Opfer
i.A. der TU Berlin Weiterbildung – p.16/24
Bilder von Viren
i.A. der TU Berlin Weiterbildung – p.17/24
Casino
i.A. der TU Berlin Weiterbildung – p.18/24
Code 9811
i.A. der TU Berlin Weiterbildung – p.19/24
Phantom 1
i.A. der TU Berlin Weiterbildung – p.20/24
WM97-fool-A3
i.A. der TU Berlin Weiterbildung – p.21/24
Maßnahmen gegen Viren und Würmer
wöchentliche bzw. tägliche Sicherheitskopien der Daten
Anlegen einer Notfalldiskette
Nutzung einer Antiviren-Software mit aktuellerDatenbank
Öffnen von Dateien aus dem Internet nur aus sichererQuelle
Prüfung von Dateien auch bei Originalsoftware
BIOS-Bootreihenfolge “C, ...”
Keine Nutzung des Internet als “Administrator”
Informieren über Sicherheitslücken und aktuelle Viren
Nutzung eines sicheren Browsers/E-Mailclients
i.A. der TU Berlin Weiterbildung – p.22/24
Informationen zu Viren?
http://www.tu-berlin.de/www/software/avprev.shtml
http://de.wikipedia.org/wiki/Computervirus
http://www.bsi-fuer-buerger.de/viren/index.htm
http://www.bsi.de/av/virbro/index.htm
http://www.heise.de/security/dienste/antivirus/
http://agn-www.informatik.uni-hamburg.de/vtc/
i.A. der TU Berlin Weiterbildung – p.23/24
Wie erkenne ich Virenbefall?
1. Meldung eines Antivirenprogramms
2. Meldung durch den Virus selbst
3. Erkennung der Verbreitungssymptome
4. Beobachtung der Schadfunktion
5. Benachrichtigung durch dritte bei Verbreitung
6. über Hintertüren o.ä.
i.A. der TU Berlin Weiterbildung – p.24/24