Computerviren

1
Computerviren

• Viren, Würmer, Trojanische Pferde, Hoaxes,
  Zombies, 0190-Dialer

2
Gliederung

1. Der Computer
2. Geschichte der Computerviren
3. Virenautoren
4. Viren
5. Würmer
6. Trojanische Pferde
7. Hoaxes
8. Zombis
9. 0190-Dialer
10. Tendenzen
11. Schutz

3
1. Der Computer
4
1.1. Boot

• BIOS sucht Bootsektor
• BIOS lädt Betriebssystem (OS)
• OS lädt Treiber
• Desktop anzeigen
• Startup-Programme ausführen

5
2. Geschichte

• 1949 v. Neumann Selbst-reproduzierende Programme
• 1975 BrunnerTapeworm
• 1984 Fred Cohens Doktorarbeit
• 1986 Brain-Virus
• 1987 Erster VirenscannerMcAffee, 19 Viren.
• 1988 Internet-Worm
• 1992 Michelangelo
• 1999 Melissa
• 2000 I Love You

6
3. Virenautoren Motivation

• Männlicher Nerd, unter 25 Jahre
• Machtgefühl
• Reichweite überprüfen
• Geltungsdrang in der Szene
• Vandalismus
• Sabotage
• Erpessung

7
Phantasmen

• Cyber-Punk
• Über-Cracker
• Omnipotenz
• Technozid
• Dark Angel's Phunky Virus Writing Guide
• ---- ------- ------ ----- ------- -----
• Virii are wondrous creations written for the
  sole purpose of spreading and
• destroying the systems of unsuspecting fools.
  This eliminates the systems
• of simpletons who can't tell that there is a
  problem when a 100 byte file
• suddenly blossoms into a 1,000 byte file.
  Duh. These low-lifes do not
• deserve to exist, so it is our sacred duty to
  wipe their hard drives off
• the face of the Earth. It is a simple matter of
  speeding along survival of
• the fittest.

8
Phantasmen Quellen

• Science-Fiction, Techno-Fiction(Viren als
  ultimative Waffe im Kampf Mensch/Maschine)
• Medienkonstruktionen (Karl Koch, Kevin Mittnick)
• Wahl der Metaphern
• Vermenschlichung des Computers
• Maschinisierung des Menschen

9
4. Virus

• Programm
• Selbst-Reproduzierend
• Infizierend
• Mit oder ohne Schadensfunktion

10
Klassifikationen

• 4.1. Klassifikation nach Wirt
• 4.2. Klassifikation nach Schaden
• 4.3. Klassifikation nach Funktion

11
4.1. Klassifikation nach Wirt

• Bootsektor (Floppy)
• Master Boot Record (HD)
• Programm
• Multipart (Boot Datei)
• Dokument (Makro)
• Email-Attachment

12
Dateiviren-Arbeitsweise

• ---------------- ------------
• P1 P2 V1 V2
• ---------------- ------------
• The uninfected file The virus code
• ---------------------
• P1 P2 P1
• ---------------------
• ---------------------
• V1 P2 P1
• ---------------------
• -----------------------------
• V1 P2 P1 V2
• -----------------------------

13
Datei-Virus-Aufbau

• Signatur
• Infektion (Replikator)
• Tarnmechanismus (Concealer)
• Destruktor (Bomb)
• Programmfortsetzung

14
Dateivirus-Ausführen

1. Aufruf des infizierten Programms (z.B.
   Autostart)
2. Laden des Programms
3. Start des Programms
4. Ausführen des Virus
5. Fortsetzung des Programms

15
Macroviren-Aufbau

• Autoexec-Macro infiziert Normal.dot
• FileSaveAs, FileSave, FileOpen, ToolsMacros
• Schadensroutine

16
Macroviren-Ausführen

• Laden des infiziertenNormal.dot
• Laden eines sauberen DokumentsFileOpen,
  AutoOpen
• Infizieren des Dokuments
• Ausführen der SchadensfunktionPayLoad

17
4.2. Klassifikation nach Schaden

• Ressourcenverbrauch
• Technische Speicher, Prozessorzeit
• Menschliche Arbeitszeit, Reparatur
• Vermehrung
• Destruktiv
• Absichtlich Logische Bomben
• Unabsichtlich
• Ziel (z.B. Anti-Virus-Virus)

18
Schaden

• Nachrichten -gt
• Musik
• Datenverlust -gt
• Datenspionage
• Partielle Ausfälle
• Hardwareausfälle

hllc-dosinfo
19
4.3. Klassifikation nach Funktionsweise

• Resident (TSR)
• Überschreibend (Overwriting)
• Getarnt (Stealth)
• Verschlüsselt
• Polymorph

20
Virenmythen

• Autonome Entitäten
• Plattformunabhängig
• Unmittelbare Wirkung
• Universelle Hintertür
• Subversives Herrschaftswissen
• Quellen s.o.

21
5. Würmer

• Selbst-reproduzierend
• Nicht-infizierend
• Mailwürmer
• Attachments
• Stealth (loveletter.txt.vbs)
• MAPI

22
Epidemie

• Code Red Do, 19 Juli 2001

23
6. Trojanische Pferde

• Nicht-Reproduzierend
• Nicht-Infizierend
• Verdeckte Schadensroutine
• Password Sniffer
• Backdoor (Back Orifice)
• dDOS

24
7. Hoaxes/Kettenbriefe Soziale Viren

• Aufbau
• Aufhänger
• Drohung
• Aufforderung
• Erkennungsmerkmale
• Technische Sprache
• Glaubwürdigkeit durch Autorität
• Schick mich an Alle!

25
Hoax Beispiel 1/3

• Der Aufhänger
• gt Subject Viruswarnung
• gt
• gt V I R U S W A R N U N G !
• gt
• gt Es wurde gerade ein neues Virus festgestellt,
  den Microsoft und
• gt McAfee als den bisher gefährlichsten Virus
  überhaupt bezeichnen!
• gt
• gt Dieses Virus wurde erst am Freitag nachmittag
  von McAfee
• gt festgestellt und wird noch nicht von
  Virenscannern erkannt. Das
• gt Virus zerstört den Null-Sektor der Festplatte,
  wo wichtige
• gt Informationen für die Funktion der Festplatte
  gespeichert sind.

26
Hoax Beispiel 2/3

• Die Drohung
• gt Die Funktionsweise des Virus ist wie folgt
• gt
• gt Das Virus versendet sich automatisch an alle
  Kontaktadressen
• gt aus dem Email-Adressbuch und gibt als
  Betrefftext
• gt "A Virtual Card for You" an.
• gt
• gt Sobald die vorgebliche virtuelle Postkarte
  geöffnet wird,
• gt bleibt der Rechner hängen, sodass der Anwender
  einen Neustart
• gt vornehmen muss.
• gt
• gt Wird nun die Kombination StrgAltDel
  oder der Reset-Knopf am
• gt Rechnergehäuse gedrückt, löscht das Virus den
  Null-Sektor der
• gt Festplatte, womit die Festplatte dauerhaft
  unbrauchbar ist. Wenn Sie
• gt also eine Nachricht mit dem Betreff "A Virtual
  Card for You"
• gt erhalten, öffnen Sie diese mail KEINESFALLS,
  sondern löschen Sie die
• gt Nachricht sofort.
• gt

27
Hoax Beispiel 3/3

• Die Aufforderung
• gt Bitte leite das vorliegende Mail an alle
  Personen in Ihrem
• gt Email-Verzeichnis weiter. Es ist sicherlich
  besser, diese
• gt Nachricht 25 Mal zu erhalten, als gar nicht!

28
8. Zombies

• Beendeter Prozess ohne
• Speicherfreigabe
• Untotes Programm

29
9. 0190-Dialer

• DFÜ-Einwähler

30
10. Tendenzen

• Datei und Boot-Viren rückläufig
• Netzwerkviren
• Cross-Application Macro-Viren über VBA
• Email-Würmer
• 0190-Dialer
• Virus-Construction-Kit
• WAP / PDA -Viren
• Mutierende bzw. Polymorphe Viren

31
Viren Top Ten 12/2001
32
Viren Top Ten 08/2002
33
Hoax Top Ten 08/2002
34
11. Schutzmöglichkeiten

• Risiko ungeschützter Software-Tausch mit
  häufig wechselnden Tauschpartnern
• Risiko Unsichere Mail-Clients

35
Prävention

• Aufklärung
• Backups anlegen
• Keine dubiosen Attachments öffnen
• Keine Kettenbriefe weiterleiten
• Antivirensoftware
• Monitore
• Authentizitätsprüfer
• Scanner
• Heuristische Scanner

36
Behandlung

• Restaurierung (Backup)
• Desinfektion
• Serum
• Pflaster (Patches)
• Impfung

37
Bookmarks

• http//www.tu-berlin.de/www/software/antivirus.sht
  ml
• Die vermutlich umfangreichste deutschsprachige
  Bookmarksammlung. Hier gibt es Links zu
  Herstellern von Antivirus-Software,
  Grundlagentexte und bei Bedarf einen Newsletter.
• http//www.tu-berlin.de/www/software/hoax.shtml
• Informationen über E-Mail Falschmeldungen
  (Hoaxes). Ein Verdacht auf einen Virus-Hoax
  sollte auf dieser Seite überprüft werden.
• http//www.sophos.de
• Sophos ist ein Hersteller von Antivirus-Software.
  Die Site ist sehr informativ aufgebaut. Viele
  Informationen und Neuigkeiten aus der Virusszene.
  Bei Bedarf kann man sich einen Newsletter mit
  aktuellen Viruswarnungen zuschicken lassen.
• http//www.sophos.de/virusinfo/whitepapers/
• Grundlagenartikel von Sophos über Computerviren.
• http//www.heise.de/ct/antivirus/
• Die Zeitschrift c't des Heise-Verlags bietet
  kompakte Informationen und viele Bookmarks.
  Insbesondere Links zu Antivirus-Software.
• http//www.heise.de/ct/antivirus/emailcheck/
• Überprüfung des E-Mail-Clients auf bekannte
  Sicherheitslücken.

38
Ende