Willkommen auf meiner Infoseite über Computerviren . Meine Seite richtet sich vor allem an die User , die bis jetzt noch nicht mit einem Computervirus konfrontiert worden sind und sich vielleicht der Gefahr noch nicht bewusst sind , was so ein Computervirus an eurem PC verursachen könnte .
WEITER ........................ ...........................HOME
Computerviren sind ausführbare Programme , die von Programmierern mit schlechten Absichten geschrieben wurden sind . Seit 1985 gibt es die kleinen Programme . Wenn so ein Virusprogramm gestartet wird , dann hängt es eine Kopie seiner selbst an ein anderes Computerprogramm an und immer wenn das so infizierte Programm gestartet wird , tritt der Virus in Aktion und hängt sich an weitere Programme an . Ich nehme mal folgendes
Beispiel : Einige Viren können Laufwerke oder Disketten infizieren , indem sie sich dort an bestimmte Programme in Bereichen anhängen , die Boot-Sektor und Master-Boot-Sektor genannt werden . Diese Bereiche enthalten Programme , die der Computer zum Starten benötigt . Die befallenen Laufwerke und Disketten sind nicht selbst beschädigt ; nur die darauf gespeicherten Daten sind betroffen .
Computerviren werden aktiv , wenn mann ein infiziertes Programm oder einen Computer startet , dessen Boot-Sektoren infiziert sind . Sind die Viren aktiviert , dann verbreiten sie sich je nach Art und Zweck der Infektion weiter . Das kann entweder auf Direktem Wege oder Speicherresisdent passieren .
Dazu wieder ein Beispiel : Bei direkter Infektion wird der Virus aktiv , sobald die infizierte Datei bzw. das Programm ausgeführt wird . Dann beginnt der Virus nach noch nicht infizierten Dateien zu suchen , um diese ebenfalls zu infizieren. Wenn das infizierte Programm beendet wird , dann kann der Virus seine Arbeit nicht mehr verrichten .
Viren können folgende Elemente infizieren :
Programmdateien mit folgenden Endungen (com;exe;sys;dll;ovl;scr) Makrofähige Dateien ; Bereiche , den der Computer zum Starten benötigt ( Boot-Sektoren) Datenträger (Disketten & Laufwerke) die für den Austausch von Programmen verwendet werden . E- Mail - Attachments , die meist in Form von Dokumenten vorliegen ( Makroviren )
Diese Virenart versteckt sich im Bootbereich einer Festplatte oder Diskette . Sie infizieren die Systembereiche von Festplatten und Disketten , auf denen sich keine Dateien befinden . Dadurch bietet sich den Bootviren die Möglichkeit sich auf mehrere Computer auszubreiten . Im Gegensatz zu Programmviren können fast alle Bootviren DOS - ,Windows 3.x- ,Windows 95 / 98 - ,Windows NT- , oder Novell Netware Systeme infizieren .
Diese Viren befallen Programmdateien meistens mit den Dateierweiterungen( exe ; com ) . Sie werden fast überall verwendet und haben außerdem relativ einfache Formate , an die sich die Viren anhängen können . Jede so infizierte Datei startet dadurch den Virus erneut und sorgt für seine Verbreitung . Bei den Schäden die die Viren anrichten ist alles möglich , bis hin zum totalen Datenverlust !
Diese Virenart greift nicht Programme , sondern Daten - Dateien an wie Word , Exel , Access - Dateien . Sie sind unabhängig vom Betriebssystem , funktionieren also auf allen Plattformen auf denen z.b.Word läuft . Sie werden erst aktiv , wenn ein Dokument geöffnet wird (doc ; xls) . Die Schäden reichen von Dokumenten , die nicht mehr gespeichert werden können , bis zu vertauschten Wörtern . Einige Makroviren versuchen mit Hilfe des DOS - Programms Debug einen ( Datei -) Virus zu erzeugen . Makroviren verbreiten sich sehr schnell , weil es einfach ist , z.b.Texte als Word - Dokumente per E - Mail oder Diskette auszutauschen .
Trojanische Pferde können so eigentlich nicht als Viren bezeichnet werden . Es handelt sich vielmehr um ein Programm , in dem gewisse Funktionen bzw. Befehle versteckt sind (z.b." format") . Meist verbergen sich die Trojanischen Pferde in scheinbar harmlosen Programmen die als nützlich angeprießen werden . Man läd sich ein Programm z.b. im Internet per Download herunter und ruft es später auf , dann passiert erst einmal nichts , weil sich der Erreger erst nach einer gewissen Zeit aktiviert und erst dann seinen Aufgaben widmet . Das Trojanische Pferd könnte z .b. die Netzwerkprotokolle nutzen (TCP/IP) um geheime Daten von einem PC zum anderen zu übertragen . Dies können Paßwörter , Kreditkartennummern oder ganze Dateien sein ! Natürlich gibt es auch sehr nützliche Trojanische Pferde ; z .b. werden sie in eine Software indegriert um eine bessere Fehlerdiagnose durchführen zu können bzw . um die Fehler schneller zu finden .
Ein Exploit ist ein
Computerprogramm oder Script, welches spezifische Schwächen beziehungsweise
Fehlfunktionen eines anderen Computerprogramms, zur Erlangung von Privilegien
oder in Absicht einer DoS-Attacke, ausnutzt.
Ein Exploit wird oft auch einfach nur zur Demonstration einer Sicherheitslücke
geschrieben und veröffentlicht. Dieser Beweis der Machbarkeit wird in der
Fachsprache auch Proof of Concept genannt. Dadurch soll erreicht werden, dass
Hersteller von Software möglichst schnell auf bekannt gewordene
Sicherheitslücken reagieren. Oft bezeichnet man auch nur die theoretische
Beschreibung eines Exploits als Exploit.
Meist machen sich Exploits zu nutze, dass Computer nicht zwischen Programmcode
und Daten unterscheiden. So wird z.B. bei einem Pufferüberlauf der Code des
Angreifers in einen nicht dafür vorgesehenen Speicherbereich geschrieben,
wodurch die Ausführung der Anwendung manipuliert werden kann. Ein Angreifer kann
oft eigenen Code zur Ausführung bringen, der ihm beispielsweise eine Shell mit
den Privilegien der ausgenutzten Anwendung liefert.
Man bezeichnet Exploits zumeist wie folgt :
* Lokale Exploits
Lokale Exploits können beim Öffnen an sich
scheinbar völlig harmloser Dateien (z.B. Bilddateien) aktiviert werden, insofern
die dem Dateityp zugeordnete Anwendung eine Sicherheitslücke aufweist indem sie
bei der Verarbeitung der Datei fehlerhaft bzw. unsauber arbeitet.
* Remote Exploits
Eine aktive Form des Exploits sind Angriffe aus dem
Internet mittels manipulierter Datenpakete oder spezieller Datenströme auf
Schwachstellen in Netzwerksoftware.
* DoS Exploits
Sie können eine betroffene Anwendung überlasten, beinhalten allerdings keine
Ausführung von fremdem Programmcode und keine Eskalation von Privilegien .
* Command Execution
Exploits
Command Execution Exploits kennzeichnet das Merkmal
einer vom Angreifer steuerbaren Ausführung von Programmcode auf dem Zielsystem.
Um ein solches Exploit erfolgreich zu Ausführung bringen zu können, muss der
Programmierer über diverse Eigenheiten der Aufteilung des Speichers der
Zielanwendung bescheid wissen. Dieses Wissen bezieht er durch offene Quellen des
Programmcodes oder durch bloßes Testen. Es muss seinen Code geschickt plazieren,
um ihn zu Ausführung bringen zu können. Command Execution Exploits sind zumeist
sehr gefährlich, da die betroffenen Anwendungen meist über erhebliche Rechte auf
dem System verfügen und der Code des Angreifers mit eben diesen Rechten
gestartet wird.
* SQL-Injection Exploits
SQL-Injection Exploits sind eine spezielle Art von
Exploits und finden sich weitestgehend nur in Bezug auf Webanwendungen, die eine
SQL-Datenbank nutzen. Hierbei werden Anfragen in einer 3-Tier Architektur so
gestellt, dass die fehlerhaft bzw. unsauber arbeitende Logikschicht Daten
zurückliefert oder schreibt, die sie weder für den Lesezugriff oder den
Schreibzugriff verfügbar machen sollte. Beispielsweise können Eingaben in einem
Loginformular so gestaltet werden, dass die betroffene Anwendung einen
ungültigen Benutzer dennoch erfolgreich einloggt.
* 0-day Exploits
Ein Exploit, das am selben Tag erscheint, an dem die Sicherheitslücke allgemein
bekannt wird, nennt man zero-day (0-day) Exploit. Die Gefährlichkeit dieser
Exploits rührt daher, dass zu diesem Zeitpunkt kaum ein Hersteller bzw.
Entwickler in der Lage ist, die Sicherheitslücke sinnvoll und umfassend mittels
eines Patchs zu schließen. Das hat zur Folge, dass diese Exploits meist
ungehindert zum Einsatz kommen.
Ein Rootkit ist eine Sammlung von
Softwarewerkzeugen, die nach dem Einbruch in ein Computersystem auf dem
kompromittierten System installiert werden, um zukünftige Logins des
Eindringlings zu verbergen, Prozesse zu verstecken, Daten zu kopieren und
Eingaben mitzuschneiden.
Der Begriff ist heute nicht mehr allein auf unixbasierte Betriebssysteme
beschränkt, da es inzwischen Werkzeugkästen gibt, die ähnliche Funktionalität
auch für Nicht-Unix-Systeme bieten, auch wenn diese keinen root-Login des
Administrators haben. Die Tarnfunktion des Rootkits erfolgt hier vor allem
hinsichtlich parallel laufender Antivirensoftware, vor denen die Dateien und
Prozesse des Angreifers versteckt werden.
Die ersten Sammlungen von Unix-Tools zu oben genannten Zwecken bestanden aus
modifizierten Versionen der Programme ps, passwd usw., die dann jede Spur des
Angreifers, die sie normalerweise zeigen würden, verbergen und es dem Angreifer
so ermöglichten, mit den Rechten des Systemadministrators root zu agieren, ohne
dass der wirkliche Administrator dies bemerken konnte. Der Name Rootkit entstand
also aus der Tatsache, dass der Angreifer sich die Root-Rechte (Admin-Rechte)
aneignet und dazu ein Kit (engl., „Baukasten“) aus verschiedenen Programmen auf
dem angegriffenen Rechner installiert und ausführt.
Ein Rootkit versteckt normalerweise Logins, Prozesse und Logs und enthält oft
Software, um Daten von Terminals, Netzwerkverbindungen und der Tastatur
abzugreifen. Dazu können Backdoors (Hintertüren) kommen, die es dem Angreifer
zukünftig vereinfachen, auf das kompromittierte System zuzugreifen, indem
beispielsweise eine Shell gestartet wird, wenn an einen bestimmten Netzwerkport
eine Verbindunganfrage gestellt wurde. Die Grenze zwischen Rootkits und
Trojanischen Pferden ist fließend.
Es gibt zwei große Gruppen von Rootkits :
Bei Application-Rootkits werden einfach legitime Programmdateien durch modifizierte Versionen ersetzt. Diese Rootkits sind jedoch relativ einfach durch den Vergleich der Prüfsummen der Programmdateien aufzuspüren. Hierbei ist zu beachten, dass Prüfprogramme wie md5sum ebenfalls oft kompromittiert werden.
Die Kernel-Rootkits ersetzen Teile des Betriebssystem-Kerns durch eigenen Code, um sich selbst zu tarnen und dem Angreifer zusätzliche Funktionen zur Verfügung zu stellen, die nur im Kontext des Kernels ausgeführt werden können. Dies geschieht am häufigsten durch Nachladen von Kernelmodulen. Man nennt diese Klasse von Rootkits daher auch LKM-Rootkits (LKM steht für engl. „loadable kernel module“). Einige Kernel-Rootkits kommen durch die direkte Manipulation von Kernelspeicher auch ohne LKM aus.
Bot-Netz (Botnet)
Unter einem Bot-Netz (die
Kurzform von Roboter-Netzwerk) versteht man ein fernsteuerbares Netzwerk (im
Internet) von PCs, das aus untereinander kommunizierenden Bots besteht. Diese
Kontrolle wird durch Würmer bzw. Trojanische Pferde erreicht, die den Computer
infizieren und dann auf Anweisungen warten. Diese Netzwerke können für
Spam-Verbreitung, Denial-of-Service-Attacken und weitere illegale Aktionen
verwendet werden, zum Teil ohne dass die betroffenen PC-Nutzer etwas davon
erfahren.
Die von Botnets ausgeführten DDoS-Attacken und Spam-Nachrichten stellen eine
Bedrohung für Anbieter von Internetdiensten jeglicher Art dar. Botnets können
Größen von tausenden Rechnern erreichen, deren Bandbreitensumme die der meisten
herkömmlichen Internetzugänge übertrifft. Somit ist es einem Botnet von
ausreichender Größe durch Senden von großen Datenmengen möglich, die Anbindungen
der attackierten Serviceanbieter zu überlasten.
Als bekannte Vertreter von Botnetzprogrammen gelten z.B. Agobot, Phatbot und
R(x)Bot.
TROJANER-TYPEN
"Remote-Acces-Trojaner" : Das sind Programme , wie z .B."Back Orifice" oder "Netbus"die die vollständige Kontrolle eines infizierten Computers übernehmen können um dann z .B. das System zu manipulieren .
"Mail-Trojaner" : Diese Programme protokollieren alle Aktivitäten auf dem infizierten Computer (z .B. das Eingeben von Passwörtern) und können die gesammelten Informationen auch über ein eigenes Mail-Programm versenden ! Mail-Trojaner ohne diese Funktion werden auch "Keylogger-Trojaner" genannt .
"Telnet-Trojaner" : Sie öffnen einen Zugang per Telnet (eine Art DFÜ-Terminal) , über den sich der Hacker auf Betriebssystemebene (z .B. die DOS-Shell) in das System einloggen und dort direkt Systembefehle ausführen kann . Telnet wird z .B. verwendet für die Fernsteuerung von Netzwerk-Servern und Zentralrechnern .
"FTP-Trojaner" : Das sind Programme , die unauffällig einen eigenen FTP-Server starten , über den der Hacker Dateien vom infizierten Rechner herunterladen oder aufspielen könnte .
"Keystroke-Simulatoren" : Diese Programme übersetzen Befehle des Hackers in simulierte Tastatureingaben . Das Betriebssystem kann so keinen Unterschied zwischen der Fernbediennung des Hackers und den Tastatureingaben des Benutzers unterscheiden bzw . erkennen .
Diese Art von Viren richten keinerlei Schaden an , aber sie können die Nerven der davon betroffenen arg strappazieren . Sie stören den Anwender mit sinnlosen Meldungen am Bildschirm ; oder sie spielen plötzlich Musik ; oder sie verursachen ein wenig Buchstabensalat . In der Regel kann man diese Programme einfach per Hand löschen .
Das sind sogenannte Viren-Warnungen , die von Zeit zu Zeit per E-Mail verbreitet werden um vor gefährlichen Viren zu warnen . Der Empfänger der Viren-Warnung wird aufgefordert , diese Meldung auch an seine Freunde weiterzuleiten . Da diese Meldung "meistens" nur ein böser Scherz ist , wird durch die Weiterleitung dieser Warnung der Datentransport im Internet erheblich belastet ! >>> Info <<<
Spyware - das ist der Oberbegriff für Programme , die Benutzerdaten sammeln und über das Internet an den Hersteller oder Vertreiber weitergeben . Die Programme finanzieren sich durch Werbeeinblendungen , die in das Programm integriert sind und über das Internet mit den gesammelten Benutzerdaten aktualisiert bzw . versendet werden . Mit der Zeit wurden die Spion - Programme immer besser Programmiert , das heist : Der Programm - Code sitzt nun schon irgendwo im Applikationssystem drin , ein Entfernen der Komponenten ist dann meist gar nicht möglich ! Selbst wenn mann die Spion - Software löscht , sitzen die eigentlichen "Spy - Module" irgendwo im System und sammeln und verschicken weiterhin Benutzerdaten ! Die" Aureate - Dateien" (Spy - Module) werden bei der Installation in das Systemverzeichnis kopiert , dabei handelt es sich um (.DLL) Dateien mit dem Namen "ADVERT.DLL " und "AMCIS .DLL" , die im Systemordner von Windows zu finden sind . Um zu überprüfen , ob auf einem PC die "Spy - Module" vorhanden sind , kann mann Tools verwenden , die nach den Aureate - Dateien suchen z . B. "Ad - aware" .
Programm - und Bootviren werden auch nach den Technologien kategorisiert , die sie verwenden , um sich zu verbreiten und auch nicht entdeckt zu werden .
Stealth- oder Tarnkappen-Viren : Sie versuchen gezielt sich einer Analyse oder Entfernung zu entziehen .Je länger ein Virus unentdeckt bleibt , desto besser kann es sich verbreiten . Ein Stealth-Virus , das den Bootsektor befällt ,verschiebt die Partitionsdatei z .b. an eine andere Stelle der Festplatte . Will ein Antivirusprogramm beim Scan den Bootsektor überprüfen , lädt das Virus die verschobene Datei , das Virenprogramm findet also nichts .
Polymorphe Viren : Sie verschlüsseln ihren Viruscode , wenn sie ein Programm infizieren . Dadurch erreichen sie, daß keine zwei Infektionen durch denselben Virus identisch sind und erschweren so die Entdeckung . Der Virenscanner muß die Verschlüsselungssequenz kennen , damit das Virus entdeckt wird .
Hybridviren : Sie sind sowohl Programm - als auch Boot -Viren . Wenn man z .b.ein Textprogramm startet , daß mit einem Virus infiziert ist , dann aktiviert sich der Virus und infiziert den Master -Boot-Sektor auf der Festplatte . Beim nächsten Computerstart wird der Virus von neuem aktiviert und infiziert ab jetzt jedes Programm , daß aufgerufen wird , egal ob sich das Programm auf der Festplatte oder auf Diskette befindet !
Stellvertreterviren : Sie verfolgen eine etwas andere Taktik , indem sie sich nicht an eine Datei anhängen sondern eine neue identische Datei erstellen die aber eine andere Dateierweiterung besitzt . Nun vertraut das Virus auf eine Eigenschaft von DOS , anstelle der richtigen Programmdatei mit der Erweiterung ( .exe ) , die identische Datei mit der Erweiterung ( .com > ausführbares Programm im DOS - Modus ) zu laden .
INHALT ........................................................................WEITER
© STR ' 97 - 2012
