Viren, Würmer und TrojanerUberleben im Schadlingsdschungel, 1. Teil.

Thomas Hildmann

hildmann@prz.tu-berlin.de

FSP-PV/PRZ TU Berlin

i.A. der TU Berlin Weiterbildung – p.1/24

Thomas Hildmann

WissenschaftlicherMitarbeiter amFSP-PV/PRZSeit 6 Jahren tätig imBereich IT-SicherheitSpezialgebiete:

RollenbasierteZugriffskontrolleSicherheitskonzepteAlternativeBetriebssysteme

i.A. der TU Berlin Weiterbildung – p.2/24

Vorstellungsrunde

Name

Tätigkeit / Arbeitsbereich

Grund für die Kursteilnahme

Vorkenntnisse

gewünschte Inhalte

i.A. der TU Berlin Weiterbildung – p.3/24

Aufbau des Kurses

1. Termin: Vorstellen, Überblick, Was sind Viren undWürmer?, Statistiken, Beispiele, Gegenmaßnahmen,regelmäßige Tätigkeiten

2. Termin: Trojaner, Hoaxes, Phishing, Kettenbriefe, Frauts,Qualifikation und Motivation von Autoren, Virenwächter,Was tun nach Virenbefall?

3. Termin: Übungen, Nutzung von Boot-CDs, Zum ThemaTrusted Computing

i.A. der TU Berlin Weiterbildung – p.4/24

Wissen über Malware

Lassen Sie uns kurz Stichpunkte zusammen-tragen, was über das Thema Viren, Würmerund Trojaner bereits bekannt ist.

i.A. der TU Berlin Weiterbildung – p.5/24

Inhalt

die Anatomie eines Virus

die Anatomie eines Wurms

ein paar Beispiele für Viren und Würmer (Top 20)

Wo gibt es Informationen über Viren?

Regeln gegen Virenbefall

Wie erkenne ich Virenbefall?

i.A. der TU Berlin Weiterbildung – p.6/24

Vorab klargestellt...

Mein Standpunkt zu Viren:Wissenschaftliches Interesse an MalwareInteresse an ProgrammierdetailsFaszination des Ideenreichtums

aber...Computermanipulation ist zurecht strafbarPersonen, die Viren in Umlauf bringen sindKriminelle

i.A. der TU Berlin Weiterbildung – p.7/24

Die Anatomie eines Virus

Vermehrungsteil: Verbreitung des Virus

Erkennungsteil: Verhindert Mehrfachinfektionen

Schadensteil: Beliebige Schadfunktionen

Bedingungsteil: Beeinflusst Vermehrung und Schaden

Tarnungsteil: Verstecken des Virus auf dem System

Unterarten:

Bootvirus

Linkvirus

Makrovirus

i.A. der TU Berlin Weiterbildung – p.8/24

Die Anatomie eines Wurms

Würmer sind den Computerviren konzeptionell sehr ähnlich.Die Abgrenzung besteht darin, dass ein Virus versucht,Dateien auf einem Computersystem zu infizieren, währendein Wurm versucht, eine Zahl von Computern in einemNetzwerk zu infizieren. Außerdem benötigt ein Virus einWirtsprogramm, welches es infiziert. Wird dieses Programmausgeführt, wird gleichzeitig auch das Virus ausgeführt. Beieinem Wurm handelt es sich dagegen um ein eigenständigesProgramm.Quelle: Wikipedia:Computerwurm

i.A. der TU Berlin Weiterbildung – p.9/24

Die Bedeutung von Malware

Beispiele für entstehenden Schaden:

Ressourcenverbrauch (Speicher, Netzwerk, ...)

Denial-of-Service (Betriebsausfall)

Manipulation oder Löschung von Daten

Ausspähen von Informationen

Vertuschung/Vorbereitung einer anderen Straftat

Zeitaufwand für Entfernung vonMalware/Neuinstallation

...

i.A. der TU Berlin Weiterbildung – p.10/24

Top 10 der Viren und Würmer

Quelle: Messagelabs VirenstatistikWerte in Millionen Registrierungen seit Erstellen derVirensignatur.

i.A. der TU Berlin Weiterbildung – p.11/24

Top 10 der letzten drei Jahre

Top ten viruses reported to Sophos January to June 2002

Others 22.4%W32/Nimda-A 1.1%

W32/FBound-C 1.8%W32/Magistr-A 2.0%W32/Sircam-A 2.8%

W32/Klez-E 3.0%W32/MyParty-A 3.7%W32/Magistr-B 4.0%W32/ElKern-C 6.3%

W32/Badtrans-B 23.5%W32/Klez-H 29.4%

Source: Sophos Plc www.sophos.com

Top ten viruses reported to Sophos January to June 2003

Others 49.6%W32/Yaha-E 1.8%

W32/Fizzer-A 2.3%W32/Avril-A 2.3%

W32/Bugbear-A 2.5%W32/Avril-B 3.2%

W32/Sobig-A 3.3%W32/Sobig-B 5.3%

W32/Klez-H 8.4%W32/Sobig-C 9.7%

W32/Bugbear-B 11.6%

Source: Sophos Plc www.sophos.com

Top ten viruses reported to Sophos January to June 2004

Others 18.1%W32/Bagle-A 1.2%W32/Sober-C 1.5%

W32/Netsky-C 2.4%W32/Netsky-Z 3.1%

W32/Zafi-B 4.0%W32/MyDoom-A 4.4%

W32/Netsky-D 6.8%W32/Netsky-B 11.0%W32/Netsky-P 21.4%

W32/Sasser 26.1%

Source: Sophos Plc www.sophos.com

i.A. der TU Berlin Weiterbildung – p.12/24

Malwarebeispiele 1

08.01.2002 Lirva kennt unzählige Verbreitungswege (E-Mail,IRC, ICQ, KaZaA, Laufwerkfreigaben und eine alteIE-Lücke) und schießt diverse Schutzprogramme ab.Viren schießen Schutzsoftware ab

21.05.2002 SQLslammer zu diesem Zeitpunkt der kleinsteInternetwurm. Seine Auswirkungen sind enorm.Trend Micro warnt vor Hackerangriff auf den MS-SQL Port

28.05.2002 Klez.H versendet sich über das Adressbuch,löscht Virensignaturen und versendet persönlicheDokumente.Klez.H überholt Sircam.A in der Virenstatistik

01.08.2002 In die Open Source-Implementierung von SSHwird ein trojanisches Pferd eingeschleust.Trojanisches Pferd in OpenSSH

i.A. der TU Berlin Weiterbildung – p.13/24

Malwarebeispiele 2

14.09.2002 Linux.Slapper.Worm befällt verschiedeneLinux-Systeme.Apache-Wurm nutzt OpenSSL-Loch

01.10.2002 Bugbear benutzt eine alte Sicherheitslücke inOutlook und muß nicht gestartet werden. Er öffnet eineHintertür und spioniert persönliche Daten aus.Neuer Windows-Wurm spioniert Daten aus

25.01.2003 Das erste Mal wird AlertCon 4 ausgerufen.SQLSlammer nutzt eine Sicherheitslücke aus, die 6Monate zuvor geschlossen wurde.SQLSlammer – winziger Wurm erzeugt riesigen Internet-Traffic

i.A. der TU Berlin Weiterbildung – p.14/24

Malwarebeispiele 3

05.04.2004 Fehlalarm bei Besuch der Webseite Freenet.de.Virenscanner löste Fehlalarm beim Besuch von Freenet aus

16.04.2004 NetSky.V verbreitet sich über eineSicherheitslücke im Internet Explorer und kommt ohneE-Mailversand aus.Auch neuer NetSky-Wurm verzichtet auf Mail-Anhang

19.04.2004 Zu Phatbot wird der Quellcode ohne Willen derProgrammierer offengelegt. Dies ermöglicht es vielenBenutzern mit Programmierkenntnissen, ihre eigenenVarianten zu schaffen.Superwurm mit öffentlichem Quelltext

i.A. der TU Berlin Weiterbildung – p.15/24

Malwarebeispiele 4

20.04.2004 NetSky.X gibt es jetzt auch in Schwedisch,Finnisch, Polnisch, Norwegisch, Portugisisch,Italienisch und Deutsch. Nun findet er auch inDeutschland große Verbreitung.Meet NetSky-X, the Babel Fish worm

10.05.2004 Sasser enthält einen Programmierfehler, überden fremder Code auf infizierten Rechnern ausgeführtwerden kann.Sicherheitsloch im Sasser-Wurm

15.06.2004 Sober.H verbreitet im Namen zufälliger,gefälschter Absender rechtsradikale E-Mails.BSI: "Absender" der rechtsradikalen Spam-Mails sind die eigentlichen Opfer

i.A. der TU Berlin Weiterbildung – p.16/24

Bilder von Viren

i.A. der TU Berlin Weiterbildung – p.17/24

Casino

i.A. der TU Berlin Weiterbildung – p.18/24

Code 9811

i.A. der TU Berlin Weiterbildung – p.19/24

Phantom 1

i.A. der TU Berlin Weiterbildung – p.20/24

WM97-fool-A3

i.A. der TU Berlin Weiterbildung – p.21/24

Maßnahmen gegen Viren und Würmer

wöchentliche bzw. tägliche Sicherheitskopien der Daten

Anlegen einer Notfalldiskette

Nutzung einer Antiviren-Software mit aktuellerDatenbank

Öffnen von Dateien aus dem Internet nur aus sichererQuelle

Prüfung von Dateien auch bei Originalsoftware

BIOS-Bootreihenfolge “C, ...”

Keine Nutzung des Internet als “Administrator”

Informieren über Sicherheitslücken und aktuelle Viren

Nutzung eines sicheren Browsers/E-Mailclients

i.A. der TU Berlin Weiterbildung – p.22/24

Informationen zu Viren?

http://www.tu-berlin.de/www/software/avprev.shtml

http://de.wikipedia.org/wiki/Computervirus

http://www.bsi-fuer-buerger.de/viren/index.htm

http://www.bsi.de/av/virbro/index.htm

http://www.heise.de/security/dienste/antivirus/

http://agn-www.informatik.uni-hamburg.de/vtc/

i.A. der TU Berlin Weiterbildung – p.23/24

Wie erkenne ich Virenbefall?

1. Meldung eines Antivirenprogramms

2. Meldung durch den Virus selbst

3. Erkennung der Verbreitungssymptome

4. Beobachtung der Schadfunktion

5. Benachrichtigung durch dritte bei Verbreitung

6. über Hintertüren o.ä.

i.A. der TU Berlin Weiterbildung – p.24/24