Seminar Gefahr im Internet

Transkript

1 Friedrich-Schiller-Universität Jena Seminar Gefahr im Internet Ausarbeitung zum Thema Viren, Würmer und Trojaner SS Daniel Kirbst Betreuer: Prof. Dr. Eberhard Zehendner

2 Inhaltsverzeichnis 1 Einleitung 1 2 Begriffserklärungen Computervirus Computerwurm Trojanisches Pferd Malware Typen und Mechanismen Computervirentypen Bootviren Datei-/Linkviren Makroviren Skriptviren Computerwurmtypen Wümer Instant-Messagingwürmer IRC-Würmer P2P-Würmer Handywürmer Typen Trojanischer Pferde Programm Programme: Linker Programme: Dropper Aufbau Vermehrungsteil Erkennungsteil Schadensteil Bedingungsteil Tarnungsteil Entschlüsselungsroutine Infektionsarten Überschreibend Companion Prepender Appender Entry Point Obscuring Schutz vor Entdeckung Stealth Viren Verschlüsselte Viren Polymorphe Viren

3 Inhaltsverzeichnis Metamorphe Viren Retroviren Verbreitung Psychologische Beeinflussung Doppelte Dateinamenserweiterung Lange Dateinamen Ausführbare Dateien Komprimierung und Verschlüsselung Mögliche Schäden Harmlose Auswirkungen Datenzerstörung Überwachung/Ausspähung Fernsteuerung Ressourcenausnutzung Erzeugung von Kosten Hardwarezerstörung Schutz Rechtetrennung Antivirenprogramm Reaktiv Proaktiv Firewall Rechtslage StGB 202 a Ausspähen von Daten StGB 263 a Computerbetrug StGB 303 a Datenveränderung StGB 303 b Computersabotage In-Umlauf-bringen Verschicken Zusammenfassung 17 3

4 1 Einleitung 1 Einleitung Als am 6. August 1991 das Internet zur weltweiten Benutzung freigegeben wurde, ließ sich nur vermuten, wie rasant die Abhängigkeit des Menschen von der Maschine voranschreitet. Der Computer ist aus dem alltäglichen Leben kaum noch wegzudenken. Wurden früher Briefe geschrieben, sind es heute s. Einkaufen kann man beispielsweise ganz leicht von zu Hause aus und zur Bank muss man auch nicht mehr. Um der Bequemlichkeit der Menschen gerecht zu werden, lassen sich unzählige Dienstleistungen online abrufen - bequem und sicher von zu Hause? Bequem ja, sicher nein. Mit der Zunahme der Bedeutung des Internets steigt auch die Anzahl der Menschen, die hier ihr Geld durch kriminelle Aktivitäten erlangen wollen. Nur durch Kenntnis möglicher Gefahren kann man sich vom Schein der sicheren vier Wände zurück zur aufmerksamen und kritischen Prüfung aller Sachverhalte besinnen. Diese Ausarbeitung beschäftigt sich mit einem kleinen, aber wichtigen Teil der Gefahren aus dem Internet. Deshalb sollte man beachten, dass zusätzliche Lektüre, mit deren Hilfe man sich auf Gefahren im Internet vorbereiten kann, sehr empfehlenswert ist. Anmerkung Die Literaturangaben für das jeweilige Kapitel stehen in dessen Einleitung. Bei einem Zitat befindet sich der Literaturvermerk direkt dahinter. 2 Begriffserklärungen Um die Begriffe voneinander abzugrenzen zu können, ist es wichtig zu wissen, welche Unterschiede zwischen den Definitionen bestehen. Leicht kann man die Begriffe verwechseln, da z.b. ein Trojanisches Pferd als Schadprogramm einen Computervirus oder Computerwurm eingebaut haben kann und meist nur die Funktionalität und nicht der Mechanismus benannt wird. (WD10b) (WD10c) (WD10e) 2.1 Computervirus Virus (lat. für Gift, Schleim ) ist ein Computerprogramm, das sich nach der Ausführung selbstständig verbreitet, indem es sich in andere Computerprogramme einschleust und somit reproduziert. Der Mechanismus der Verbreitungs- und Infektionsfunktion ist äquivalent zum Virus, weshalb der Name übernommen wurde. Computerviren variieren im Aufbau und können verschiedenste Funktionen erfüllen. 2.2 Computerwurm Ein Computerwurm ist die Weiterentwicklung eines Computervirus. Der Computerwurm grenzt sich bei der Verbreitung vom Computervirus ab. Die Verbreitung des Computervirus ist abhängig vom Benutzer - ganz im Gegensatz zum Computerwurm. Er hat eine verbesserte Verbreitungsroutine und vermehrt sich, einmal gestartet, eigenständig über eine bestehende Infrastruktur (z.b. über Clienten). 1

5 3 Typen und Mechanismen 2.3 Trojanisches Pferd Ein Trojanisches Pferd ist ein als nützliches Programm getarntes Computerprogramm, welches im Hintergrund und ohne Wissen des Anwenders eine andere Funktion ausführt. 2.4 Malware Als Malware (engl. mal icious - bösartig ) werden Schadprogramme bezeichnet, die entwickelt wurden, um unerwünschte oder schädliche Funktionen auszuführen. Somit fallen Computerviren, Computerwürmer und Trojanische Pferde in die Malware. 3 Typen und Mechanismen Wie bereits angedeutet, ist es sehr wichtig, über die Gefahren im Internet Bescheid zu wissen. Dazu gehört ebenfalls, einen Überblick über die Mechanismen der verschiedenen Computerviren, Computerwürmer und Trojanischen Pferde zu erhalten. Im folgenden Kapitel werden die wichtigsten Typen thematisiert. (WD10b) (WD10c) (WD10e) 3.1 Computervirentypen Viele Computerviren kann man nicht eindeutig einer Klasse zuordnen, da sie gleich mehrere Mechanismen nutzen, um ihren Schadcode zur Ausführung zu bringen. Die Variationsvielfalt und Kreativität der Programmierer lässt hier alle Möglichkeiten offen Bootviren Bootviren sind bis 1995 eine sehr verbreitete Form von Computerviren gewesen. Sie haben den Master Boot Record 1 (MBR) einer Festplatte infiziert und konnten somit die Funktion des Ladens vom Betriebssystem abändern und so ihren Schadcode zur Ausführung bringen. Wenn der geladene MBR nicht von der Festplatte, sondern von einem externen Medium (z.b. von deiner Diskette) stammt, so versucht der Computervirus sich in den MBR der Festplatte zu schreiben, um immer ausgeführt zu werden. Die größte Schwachstelle der Bootviren ist die stark limitierte Größe des MBR auf 512 Bytes. Außerdem muss der Computervirus noch die eigentliche Funktion des MBR übernehmen und somit bleibt wenig Platz für den Computervirus selbst. Möglich wäre es, einen Teil des Codes auf die Festplatte auszulagern, jedoch gilt dabei zu beachten, dass Funktionen, die das Betriebssystem bereit stellt (z.b Finden und Öffnen von Dateien), nicht genutzt werden können, denn das Betriebssystem wurde noch nicht geladen. Der Schutz für den MBR hat sich im Laufe der Jahre stark weiter entwickelt, wodurch nur noch sehr wenige Bootviren Systeme infizieren können. Außerdem erfordert es wesentlich mehr Wissen und Programmierfertigkeiten, um auf dem stark limitierten Speicherplatz arbeiten zu können. Abschließend kann man festhalten, dass dieser Computervirentyp sehr selten geworden ist und Programmierer mit entsprechendem Wissen häufig auf andere Malware zurückgreifen. 1 erster physischer Teil einer Festplatte 2

6 3 Typen und Mechanismen Datei-/Linkviren Dieser Computervirentyp tritt am häufigsten auf. Sie infizieren ausführbare Dateien oder Programmbibliotheken auf einem Betriebssystem, indem sie sich in die Wirtsdateien einfügen und die Ausführungsreihenfolge der Befehle derart verändern, dass der Computervirencode immer zuerst ausgeführt wird. Die Datei-/Linkviren unterscheiden sich voneinander in der Art, wie sie die Wirtsdatei infizieren. Welche Infektionsarten es gibt, wird an einer anderen Stelle erläutert Makroviren Makros dienen dazu, das Arbeiten in Dokumenten zu vereinfachen, indem sie wiederkehrende Aufgaben automatisieren. Findet der Makrovirus ein nicht infiziertes Dokument (wie das funktioniert, wird später behandelt), so wird der Schadcode häufig in ein spezielles Makro geladen, welches automatisch nach dem Laden des Dokuments ausgeführt wird. Möglich ist auch die Infektion anderer Makros, jedoch verringert sich hier die Ausführungswahrscheinlichkeit stark und kommt deshalb sehr selten vor Skriptviren Ein Skript ist ein Programm. Es wird durch einen Interpreter Schritt für Schritt ausgeführt und realisiert damit die Ausführung einer Funktion, ohne durch einen Kompilierer in Maschinensprache übersetzt worden zu sein. Skripte sind meist vom Betriebssystem unabhängig und finden häufig auf Webservern Anwendung (z.b. JavaScript). Ähnlich wie das Makrovirus sucht sich das Skriptvirus eine entsprechende Datei, die es infizieren kann. Bei HTML-Dateien gibt es einen Skriptbereich, der automatisch von den meisten Browsern ausgeführt wird. In Abhängigkeit von den Dateietypen verändern sich die Schwachstellen und somit die Strategie der Computerviren. 3.2 Computerwurmtypen Computerwürmer verbreiten sich selbstständig und beruhen auf vielen Mechanismen, die bereits bei Computervirentypen erklärt wurden. Deshalb wird an manchen Stellen der Mechanismus nur genannt und kann im entsprechenden Computervirentyp nachgelesen werden Wümer -Würmer verbreiten sich durch das selbständige Verschicken von s. In der Mail ist ein Hyperlink enthalten, der den Schadcode nach dem Anklicken auf dem Rechner installiert, und ein entsprechender Text, um den Nutzer das Anklicken des Hyperlinks schmackhaft zu machen. Ist man dem Inhalt des Textes zum Opfer gefallen, so installiert man automatisch den Computerwurm auf seinem Rechner. Meist ohne Wissen des Nutzers werden weitere Mails an die gespeicherten Adressen im Webaccount verschickt. 3

7 3 Typen und Mechanismen Durch das Erhalten der Mail von Bekannten, steigt das Risiko, Opfer des Computerwurms zu werden, enorm Instant-Messagingwürmer Ein Instant-Messaging Programm ermöglicht das zeitnahe Kommunizieren von zwei oder mehr Personen im Internet. Instant-Messagingwürmer verschicken Nachrichten mit einem Hyperlink und Text an Leute aus der Kontaktliste. Klickt man auf den Hyperlink, so ist der Computer infiziert und verschickt Nachrichten an Leute aus der eigenen Kontaktliste. Auch hier ist dies meistens vor dem Nutzer verborgen, um größtmöglichen Schaden anzurichten, bevor Gegenmaßnahmen ergriffen werden können IRC-Würmer Internet Relay Chat ist ein rein textbasiertes Chat-System. Es nutzt eine eigene Infrastruktur (IRC-Server), um eine Kommunikation zwischen zwei oder mehr Nutzern zu ermöglichen. Das Besondere ist hierbei ein Programmteil, der das Ausführen von Textskripten ermöglicht. Der Wurm ändert diesen entsprechend ab, was dazu führt, dass der Nutzer in jedem Channel 2 den Link zum IRC-Wurm verteilt. Einmal auf den Link geklickt, trägt man zur Verbreitung des Computerwurmms bei P2P-Würmer Peer-to-Peer ist eine Netzwerkform, die ohne einen Server auskommt (Direktverbindung). Anwendung findet diese Form der Verbindung bei den meisten Tauschbörsen (z.b. Bit- Torrent). Da hier zumeist illegal Daten getauscht werden, ist diese Form der Verbindung wesentlich sicherer als über einen Server, weil die Verbindungen so nicht durch eine zentrale Stelle gespeichert werden können. An dieser Stelle knüpfen die P2P-Würmer an. P2P Verbindungen haben Sicherheitslücken, wodurch der Wurm sich ohne eine Aktion des Nutzers auf das System speichern kann. Ist man infiziert, werden alle Nachbarn 3 auf die gleiche Weise angegriffen und infiziert. Der Aufbau des Netzwerkes beruht auf vielen Verbindungen zwischen den Nutzern und dem Verschieben von Daten. Das erschwert das Erkennen des Computerwurms enorm. Eine deutlich weniger raffinierte Methode ist das Anbieten von infizierten Dateien zum Download. Das Interesse der Nutzer wird hier mit Namen erweckt, die auf glaubwürdigen Seiten automatisch geklaut und zum Download bereit gestellt werden. In Tauschbörsen wird aber zumeist nur mit großen Dateien gehandelt, was die kleinen Virenprogramme natürlich sehr auffällig macht. Viele Filesharing-Programme haben inzwischen wirksame Filter, um verdächtige Dateiformate zu ignorieren. Wenn man Dateien in einem P2P-Netzwerk sucht, bekommt man als Suchergebnis eine Datei (Hashet oder.torrent-file), welche über ein Protokoll gesteuert wird. Ein weiterer Ansatz ist, dieses Suchergebnis entsprechend abzuändern und den Computerwurm 2 spezielle Form von Chaträumen für beliebig viele Personen 3 Computer zu denen eine Verbindung besteht 4

8 3 Typen und Mechanismen anstatt der eigentlich gesuchten Datei zum Download bereit zu stellen. Wichtig ist hier ebenfalls die Ähnlichkeit der Größe der Datei zur gesuchten. Diese Methode ist schwierig zu programmieren und findet daher kaum Anwendung Handywürmer Mit der Zunahme der Funktionen, die ein Handy bereit stellt, wächst auch die Gefahr der Bedrohung. Denn mehr Funktionen bedeuten mehr Angriffsfläche und Nutzen für Computerwurmautoren. Mitte 2004 ist der erste Wurm für Handys aufgetreten und wurde über Bluetooth verbreitet. Später ist auch die Verbreitung über MMS hinzugekommen. Andere Verbindungen wie UMTS oder WLAN werden definitiv folgen. In dieser Kategorie werden in naher Zukunft einige Weiterentwicklungen zu vermerken sein. 3.3 Typen Trojanischer Pferde Ein Trojanisches Pferd versucht immer unerkannt zu bleiben, weshalb hier verschiedene Mechanismen in Frage kommen. Im Allgemeinen besteht ein Trojanisches Pferd aus zwei eigenständigen Programmen, die miteinander verknüpft wurden. Ein Programm führt die gewünschte und der andere Teil die unerwünschte Funktion aus. Weiterhin gibt es noch Trojanische Pferde, welche die geheime Funktion in sich selbst beherbergen und somit beide Funktionen zur Anwendung bringen. Es werden immer wieder neue Arten und artverwandte Typen von Trojanischen Pferden erstellt. Zudem werden oftmals Kombinationen verschiedener Computervirus-/ Computerwurmarten zu einem Schadprogramm zusammengefasst, um so die Effektivität zu steigern und das Einsatzspektrum zu erweitern Programm Hier werden beide Funktionalitäten in einem Programm untergebracht. Demnach geht nach dem Löschen des Programms die geheime Funktionalität ebenfalls verloren. Ein Beispiel hierfür sind Plugins 4, die eine Erweiterung für ein bestimmtes Programm bieten. Als Browser-Plugin getarnt, könnte man praktischerweise gleich mit dem Internet kommunizieren, ohne die Aufmerksamkeit einer Firewall zu erregen. Trojanische Pferde können sich alle Schnittstellen eines Programms zu nutze machen, um somit bestehende Sicherheitsprogramme auszutricksen. Die Nutzung der Schnittstellen von Programmen, auf die man über eine Schnittstelle Zugriff hat, ist nicht ausgeschlossen Programme: Linker Ein Linker (auch Joiner oder Binder genannt) heftet das unerwünschte Programm einer beliebigigen ausführbaren Datei an und startet diese unbemerkt mit. Das Schadprogramm wird gewissermaßen mit dem nützlichen Programm verlinkt. 4 engl. to plug in, einstöpseln, anschließen oder auch Erweiterungsmodul 5

9 3 Typen und Mechanismen Programme: Dropper Hier wird versucht, die geheime Funktionalität auszulagern, damit nach dem Löschen des Trojanischen Pferdes weiterhin die Funktion ausgeführt werden kann. Das geschieht, indem nach der Ausführung ein Programm irgendwo im System fallen gelassen (engl. to drop) bzw. installiert wird. Im Autostart wird entsprechend ein Vermerk hinterlassen, um zu gewährleisten, dass die Funktion immer ausgeführt wird. 3.4 Aufbau Die Formen eines Computervirus können sehr unterschiedlich sein, weshalb die Angabe eines grundsätzlichen Aufbaus schwer möglich ist. Die folgenden Funktionsteile beschreiben die häufigsten Vorkommen von Funktionen in einem Computervirus. Es ist durchaus möglich, dass weitere Funktionen in einem Computervirus Anwendung finden. Manche Teile, wie z.b. der Tarnungsteil, kommen eher selten vor. Ein Computerwurm unterscheidet sich von einem Computervirus laut Definition nur in seinem Vermehrungsteil, welcher allerdings, um die eigenständige Vermehrung zu ermöglichen, hoch komplex werden kann. Trojanische Pferde können als unerwünschtes Programm ganze Computerviren oder Computerwürmer enthalten oder nur die Schadroutinen. Das Trojanische Pferd unterscheidet sich von den Computerviren und Computerwürmern hauptsächlich in dem Punkt, dass es keinen Vermehrungsteil haben muss. Es sei denn, man betrachtet die Idee hinter einem Trojanischen Pferde als Vermehrungsteil Vermehrungsteil Der Vermehrungsteil sorgt für die Verbreitung. Dieser Teil ist laut Definition in jedem Computervirus und Computerwurm enthalten Erkennungsteil Dieser Teil dient zur Überprüfung, ob bereits eine Infizierung erfolgt ist. Dazu muss er seine eigene Signatur 5 kennen und danach suchen Schadensteil Ohne diesen Teil wären Computerviren und Computerwürmer eher harmlos. Denn hier werden, wie der Name schon sagt, die Befehle eingefügt, die zum Schaden für das Opfer führen. Nicht zwingend müssen dies Datenverlust oder andere unmittelbare Schäden sein. Welche Schäden auftreten können, wird im Kapitel 4 thematisiert Bedingungsteil Der Bedingungsteil macht nur in Zusammenhang mit dem Schadensteil Sinn, denn hier wird festgehalten, wann der Schadcode ausgeführt werden soll. Standardmäßig wird der 5 lat. signum Zeichen zur eindeutigen Identifikation 6

10 3 Typen und Mechanismen Schadensteil immer ausgeführt, aber genauso sind Zufall, ein bestimmtes Datum, bestimmte Systemvoraussetzungen oder ähnliches vorstellbar Tarnungsteil Hier werden Tarnungsroutinen eingebaut, um Schutz vor Anti-Viren-Software zu haben. Dabei finden unter anderem Verschlüsselung oder Formveränderung Anwandung. Beide Formen werden später näher erläutert Entschlüsselungsroutine Dieser Teil macht nur Sinn in Verbindung mit einem Tarnungsteil. Er dient dazu, die Verschlüsselung des Tarnungsteils wieder aufzuheben. Allerdings muss die Entschlüsselungsroutine unverschlüsselt vorliegen und deshalb ist der Schutz einer Verschlüsselung eher gering, denn Anti-Viren-Programme suchen zumeist einfach nach der Entschlüsselungsroutine. 3.5 Infektionsarten Es gibt verschiedene Arten, wie eine Wirtsdatei infiziert werden kann. Wie überall gibt es triviale und anspruchsvolle Methoden. Sie unterscheiden sich hauptsächlich in der Auffindbarkeit durch Anti-Viren-Software. Die folgenden Infektionsarten beschreiben Mechanismen, die sich Computerviren und Computerwürmer zu Nutze machen. Die Infektionsarten Trojanischer Pferde sind bereits erläutert wurden Überschreibend Die triviale Art der Infizierung ist, kompromisslos den Programmcode in ausführbare Dateien zu schreiben, ohne darauf zu achten, dass der ursprüngliche Programmcode intakt bleibt. Durch das daraus folgende nahezu sichere Zerstören der Wirtsdatei fällt die Infektion schnell auf Companion Als Companion kann man einen Gefährten verstehen. In diesem Sinne ist er ein eher unerwünschter Gefährte, denn er nimmt den Platz einer Datei ein und verschiebt die Datei in einen Ordner, die so gut wie nie aufgerufen wird. Nach der Ausführung des Schadcodes wird die ursprüngliche Datei ausgeführt, um die Wahrscheinlichkeit einer Entdeckung zu verringern. Wenn man genau hinschaut, handelt es sich hierbei nicht um einen Computervirus in ursprünglichem Sinne, denn es wird keine Wirtsdatei infiziert Prepender To prepend bedeutet soviel wie voranstellen. Genau nach diesem Prinzip fügt sich der Computervirus in eine Wirtsdatei ein und wird somit zuerst ausgeführt. Nach der Ausfüh- 7

11 3 Typen und Mechanismen rung des Computervirus stellt dieser den Originalzustand der Wirtsdatei im Arbeitsspeicher her und führt diese ebenfalls aus Appender To append bedeutet soviel wie anhängen. Sich an eine Wirtsdatei anzuhängen, ist wesentlich einfacher zu implementieren als am Anfang einzufügen. Um vor der Wirtsdatei ausgeführt zu werden, wird der Programmablauf entsprechend angepasst. Wie beim Prepender so wird auch hier die Wirtsdatei ausgeführt, um unauffällig zu bleiben Entry Point Obscuring Entry Point Obscuring bedeutet, den Eintrittpunkt in eine Wirtsdatei zu verschleiern. Der Eintrittspunkt in eine Wirtsdatei muss demnach variieren und deshalb ist dieser Mechanismus sehr schwer zu entwickeln. Um häufig zur Ausführung zu kommen, werden Routinen, die einmal ausgeführt werden (z.b. die Funktion zum Beenden eines Programms), bevorzugt zur Infektion genutzt. Durch diese Technik ist es allerdings auch möglich, dass ein Teil der Wirtsdatei infiziert wird, der nie oder nur ganz selten Anwendung findet. Die Vorteile, die diese Technik bietet, wiegt das Risiko auf, denn um diesen Computervirentyp zu finden, muss man die gesamte Wirtsdatei durchsuchen. Standartmäßig werden bei einer schnellen Virensuche nur der Anfang und das Ende einer Datei durchsucht, da die ausführliche Suche sehr zeitaufwändig ist. 3.6 Schutz vor Entdeckung Die Ersteller von Malware verfolgen zumeist illegale Aktivitäten, weshalb die Suche danach immer besser und raffinierter wird. Um Schadprogramme zu schützen finden sehr raffinierte Tricks Anwendung. Die wichtigsten, die zur Tarnung von Computerviren Verwendung finden, werden im folgenden Abschnitt thematisiert. Dabei ist zu beachten, dass Computerwürmer ebenfalls auf die folgenden Mechanismen zurückgreifen. Trojanische Pferde hingegen sind durch ihren Aufbau schon ausreichend gut versteckt Stealth Viren Stealth 6 Viren fangen Systemaufrufe ab, sodass eine Identifikation (z.b. durch die Größe der Datei) erschwert wird. Beim Lesen der Datei werden ausschließlich die Daten der ursprünglichen Datei ausgegeben Verschlüsselte Viren Diese Art von Computerviren verschlüsselt sich selbst, wobei eine Änderung des Schlüssels von Infektion zu Infektion nicht ausgeschlossen ist. Damit macht man das Suchen 6 engl.: Heimlichkeit, Schläue 8

12 3 Typen und Mechanismen nach der Signatur des Virus unmöglich. Durch die Variation des Schlüssels verhindert man die Suche nach gewissen Zeichenfolgen. Da die Entschlüsselungsroutine in seiner ursprünglichen Form vorhanden sein muss, kann man nach ihr suchen. Dieser Typ bietet also nur Schutz vor Mustererkennung und Signatursuche Polymorphe Viren Polymorphismus bedeutet Vielgestaltigkeit. Um das zu erreichen verwenden polymorphe Computerviren eine variable Entschlüsselungsroutine und meist eine variable Verschlüsselung. Nach einer Infektion wird der Teil, der zur Erstellung der neuen Entschlüsselungsund Verschlüsselungsroutine dient, aufgerufen. Dieser erstellt durch Vertauschen unabhängiger Befehle sowie dem Austauschen von Operationen und der Kodierung von Operationen mit verschiedenen Befehlssequenzen eine strukturfremde Entschlüsselungs- und ggf. Verschlüsselungsroutine. Die Schwachstelle der eindeutigen Erkennung der Entschlüsselungsroutine, die verschlüsselter Virus habt, wird somit beseitigt. Die Vorteile der verschlüsselten Computerviren gelten natürlich auch für polymorphe Viren Metamorphe Viren Metamorphismus bedeutet soviel wie Verwandlung oder Umgestaltung. Dies wird erreicht durch die Veränderung der eigenen formalen Grammatik. Der Programmcode wird in eine Metasprache 7 umgeschrieben und in dieser abgeändert, dadurch verändert sich die formale Grammatik. Anschließend kann man die Sprache wieder in Programmcode compilieren und erhält einen vom Ursprünglichen metamorphen Computervirus Retroviren Retroviren versuchen bestehende Schutzprogramme wie Firewall und Anti-Viren-Software zu deaktivieren und verschaffen somit anderer Malware freien Zugang zum System. Dadurch gelten sie als sehr gefährlich. 3.7 Verbreitung Die Verbreitung von Malware ist höchst anspruchsvoll und erfordert Kreativität, denn die Zielpersonen sind allseits bestrebt, dieser nicht zum Opfer zu fallen. Sicherheitslücken von Programmen werden zur Weiterverbreitung genutzt. Jedoch sind Firmen, die diese Programme anbieten, bestrebt, die Software so sicher wie möglich zu erstellen und falls Sicherheitslücken erkannt werden, diese schnellstmöglich zu schließen. Die Sicherheitssoftware wird immer besser und ist vom normalen Computervirenautor kaum noch zu überlisten. Deshalb hat die Verbreitung durch die Unwissenheit und Bequemlichkeit der Benutzer eine hohe Bedeutung. Wie der Nutzer dazu gebracht wird, die Malware mehr oder weniger 7 Sprache über eine Sprache 9

13 3 Typen und Mechanismen freiwillig auf seinem Rechner zu installieren, wird in folgendem Abschnitt auszugsweise erklärt Psychologische Beeinflussung Besonders wichtig ist es, das Interesse des Empfängers zu wecken. Dazu kann man auf eine Schockwirkung zurückgreifen (z.b. Androhung einer Strafverfolgung), Neugier (z.b. private Bilder) oder Begierde (z.b. auf hohe Geldbeträge). Das erweckte Interesse soll die Sicherheitsbedenken gegenüber dem präsentierten Link verringern, der Versprochenes erfüllen soll. Ist man der Illusion zum Opfer gefallen, so hat man einen infizierten Rechner und trägt in vielen Fällen zur Verbreitung bei Doppelte Dateinamenserweiterung Das häufig benutzte Betriebssystem Microsoft Windows blendet die Dateiendungen aus und somit wird z.b. Dateiname.mp3.exe nur noch als Dateiname.mp3 angezeigt. Um die Illusion perfekt zu machen, kann man der Datei zusätzlich ein geeignetes Icon 8 zuweisen. Damit besteht starke Verwechslungsgefahr mit einer Musikdatei und so kann es zur Ausführung kommen Lange Dateinamen Bei zu langem Dateinamen wird dieser von den meisten Betriebssystemen nur bis zu einem bestimmten Zeichen angegeben und der Rest mit Punkten angedeutet. Geht man mit der Maus auf die Datei, so findet man das ganze Wort in einer Box vor. Der Anwender kann leicht über die wahre Natur der Datei hinwegtäuscht werden, indem ihr ein Interesse erweckendender Namen gegeben wird. Durch entsprechend viele Leerzeichen kann man über die Endung hinwegtäuscht und hoffen, dass der Nutzer diese übersieht. Dies ist aber ein Risiko und somit werden meist zusätzliche Täuschungen eingebaut. Vorstellbar wäre z.b. interessantername.jpg <ausreichend Leerzeichen> Checked by Antivirus.exe. Der Computervirenautor baut hier darauf, dass der Nutzer die Namenserweiterung als Hinweis auffasst und sich durch die Prüfung durch eine Anti- Viren-Software sicher fühlt Ausführbare Dateien Es gibt viele verschiedene Typen von ausführbaren Dateien, wie z.b..bat,.cmd,.vbs,.com,.pif und mehr. So kann man mit.pif ein Bild vortäuschen oder mit.com einen Internetlink. Die Variabilität ist hier sehr hoch, um eine Verwechslung zu provozieren Komprimierung und Verschlüsselung Durch Komprimierung verschwinden die Dateiendungen und sind erst nach dem Entpacken sichtbar. Das Überprüfen der Dateien durch gängige Schutzsoftware wird so er- 8 Symbol oder Sinnbild 10

14 4 Mögliche Schäden schwert. Durch Verschlüsselung ist das Überprüfen der Datei grundsätzlich erst nach dem Entschlüsseln möglich. 4 Mögliche Schäden Das folgende Kapitel beschäftigt sich mit Schäden, die der Nutzer unmittelbar an seinem Rechner erfährt und Schäden, die erst im Nachhinein zum Tragen kommen. Im Allgemeinen kann man sagen, dass Computerviren einen geringeren Schaden ausrichten als Computerwürmer. Die einfache Begründung dafür ist die rasante Verbreitung der Computerwürmer. (WD10b) (WD10c) (WD10e) 4.1 Harmlose Auswirkungen Es gibt Computerviren, die keinen Schadensteil haben und sich somit nur minimal auswirken. Es wird lediglich Speicherplatz und Rechenzeit verbraucht, was aber bei dem heutigen Stand der Technik kaum ins Gewicht fällt. Eher unerfreulich, jedoch noch relativ harmlos, sind Computerviren, die ihre Existenz bereitwillig dem Nutzer kundtun. Dies kann geschehen durch Piepsen bzw. Musik, durch auftauchende Texte (in dem der Computervirenautor z.b. über Politik aufklären will) oder durch Manipulation des Bildschirminhalts, indem dieser verzerrt wird, Buchstaben herunter fallen oder Objekte sich selbstständig machen und wahllos über den Bildschirm wandern. Meistens ist diese Aktivität an eine bestimmte Zeit gebunden, um dem Computervirus genügend Zeit zu geben sich zu verbreiten. 4.2 Datenzerstörung Auch wenn diese Art von Zerstörung mit den meisten Computerviren in Verbindung gebracht wird, so trifft die Funktionsweise jedoch nur auf sehr wenige Computerviren zu. Durch gute Rekonstruktionsprogramme kann man viele Daten retten. Nur sehr wenige Computerviren beherrschen das unwiderrufliche Löschen. Dabei sollte man beachten, dass der Computervirus damit oft seinen eigenen Lebensraum zerstört. Die Zerstörung von Programmen bzw. Datenbeständen kann zum einen durch fehlerhafte Programmierung von Computerviren kommen. Das ist höchst unschön für den Nutzer, aber meist ungewollt vom Computervirenautor. Zum anderen kann diese Funktion aber auch mit voller Absicht ausgeführt werden, was eine meist effektivere Zerstörung zur Folge hat. Wirklich Sinn macht die Zerstörung von Datenbeständen für Computervirenautoren lediglich in Firmen. Denn damit wollen sie ihr Geld verdienen und das erhalten sie in diesem Fall von der Konkurrenzfirma. Auszuschließen ist jedoch nicht, dass ein Computervirenautor aus niederen Beweggründen einen Datenzerstörer für den Normalverbraucher in Umlauf bringt. 11

15 4 Mögliche Schäden 4.3 Überwachung/Ausspähung Diese Art von Schädigung hat meist keine unmittelbaren Schäden für den Nutzer zur Folge, jedoch kann im Nachhinein ein viel größerer Schaden auftreten als der Verlust von Daten. Möglich ist hier die Überwachung von Tastatureingaben und somit Passwortraub (pishing 9 ). Benutzeraktivitäten können protokolliert und entsprechende Profile erstellt werden(z.b. Mitarbeiterüberwachung). Genauso können der Datenverkehr überwacht und (sensible) Datenbestände kopiert werden. Für Firmen mit geheimen Informationen über Produkte können solche Informationen existenzbedrohend sein. 4.4 Fernsteuerung Man kann die Computer fremder Nutzer einfach fernsteuern, wenn der entsprechende Computervirus installiert wurde. Dadurch erhält man die gleichen Rechte wie der aktuelle Nutzer und kann somit meist (durch fehlende Rechtetrennung) alle Aktionen durchführen, inklusive Austausch bzw. Deaktivierung von Sicherheitssoftware. Damit ist dann Tag der offenen Tür für andere Malware. 4.5 Ressourcenausnutzung Manche Computerviren/-würmer infizieren den Rechner und stellen lediglich Speicheroder Rechenressourcen für den Entwickler der Malware bereit. Eine Nutzung könnte beispielsweise sein, den Computer zum Abschicken von s einzusetzen, um Spamfilter zu umgehen oder einfach nur Massen von s zu verschicken. In dem Zusammenhang können Rechennetzwerke erstellt werden (Botnetz 10 ), die dem Befehl des Administrators folgen. 4.6 Erzeugung von Kosten Durch den hohen Datenverkehr, den Computerwürmer erzeugen können, kann es zu Serverausfällen und somit Geldverlust des Betreibers kommen. Ebenfalls gibt es Trojanische Pferde, die Dialer 11 installieren, sich in kostenpflichtige Verbindungen einwählen und somit Kosten erzeugen. Handywürmer können durch das Verschicken von SMS/MMS ebenfalls erhebliche Kosten produzieren. Nicht zu vernachlässigen ist der Schaden für das Image 12, den eine Firma durch Angriffe von Malware erleiden kann. Jedoch ist die Wahrscheinlichkeit einer Infektion durch die immer raffinierteren Tricks der Computervirenautoren stark gestiegen. Somit ist der erlittene Imageschaden mit der Zeit gefallen, jedoch sind zur Wiederherstellung des Images erhebliche Kosten notwendig. 9 password fishing 10 Gruppe von Software-Bots 11 Einwahlprogramme 12 Gesamteindruck der Kunden 12

16 5 Schutz 4.7 Hardwarezerstörung Tatsächlich schaffen es Computerviren in Einzelfällen, sogar Hardware zu zerstören. Früher konnte durch extreme Bildsignale der Bildschirm zerstört werden, was allerdings heutzutage verhindert wird. Doch können z.b. Grafikkarten übertaktet und bei nicht ausreichender Kühlung beschädigt oder zerstört werden. 5 Schutz Um sich vor Malware zu schützen, ist es wichtig, die Typen und Mechanismen zu kennen, welcher sich die Schädlinge bedienen. Da man nicht alle kennen kann, ist eine gesunde Skepsis stets anzuraten. Es ist wichtig, jeden neuen Schritt kritisch zu betrachten und zu bewerten, um nicht durch psychologische Tricks dazu gebracht zu werden, Malware freiwillig auf dem Rechner zu installieren. Die im folgenden Abschnitt beschriebenen Sicherheitsmaßnahmen bieten keinen vollen Schutz, sondern vergrößern ihn nur. Aber im Allgemeinen gilt, dass das schwächste Glied immer noch der Nutzer selbst ist. Anhand der verschiedenen Mechanismen, die behandelt wurden, kann man zumindest folgende Regeln aufstellen: 1. Automatische Makroausführung deaktivieren 2. Nur zertifizierte Makros und Skripte nutzen (z.b. von TCG 13 ) 3. Überwachung der Autostarteinträge 4. Keine Anhänge von unbekannten Personen öffnen 5. Bluetooth bei Handys deaktivieren 6. Kostenlose Freeware dringend auf Malware überprüfen 7. Bei Fund eines Trojanischen Pferdes sollte eine Systemwiederherstellung vor der Infektion durchgeführt werden (Dropper) Natürlich ist zusätzlich die Nutzung der im folgenden erklärten Dienste sehr empfehlenswert. (Bun10e) (WD10d) (WD10a) 5.1 Rechtetrennung Unter Rechtetrennung versteht man, allen Nutzern eines Systems nur die nötigsten Rechte zu geben. Das hat den Vorteil, dass die Schadsoftware ebenfalls die limitierten Rechte hat und somit potentiell weniger Schaden anrichten kann. 5.2 Antivirenprogramm Ein Antivirenprogramm ist ein Computerprogramm, welches alle bekannten Computerviren, Computerwürmer und Trojanischen Pferde aufspüren kann. Durch die im folgenden Abschnitt erklärten Mechanismen versucht das Antivirenprogramm bekannte und unbekannte Malware aufzuspüren. Wurde eine solche gefunden, obliegt es dem Nutzer, diese zu ignorieren, blockieren oder zu entfernen. 13 Trusted Computing Group 13

17 5 Schutz Reaktiv Unter Reaktiv versteht man die Suche nach entsprechenden Signaturen. Somit kann Malware erst gefunden werden, wenn sie vom Antivirenhersteller zur Datenbank hinzugefügt wurde. Jede Antivirensoftware verwendet diese Technik. Besonders wichtig ist hier die regelmäßige Aktualisierung der Datenbank, denn sonst kann neue Malware ungehindert Schaden anrichten. Scanengine Die Scanengine ist der Teil, der für die Suche verantwortlich ist. Damit ist sie direkt für die Effizienz der Software verantwortlich. Denkbar wäre es, multiple Scanengines einzusetzen, jedoch führt dies zu starkem Performanceverlust und nicht zwingend zur Steigerung der Sucherfolgswahrscheinlichkeit. Cloud-Technologie Diese Technologie befindet sich derzeit noch in Entwicklung und versucht die aufwändige Suche nach Malware auf viele Rechner zu verteilen. Damit kann eine wesentlich schnellere Überprüfung erfolgen Proaktiv Proaktive Suche zielt auf die Malware ab, die noch nicht bekannt ist und versucht diese, mit den im folgenden Abschnitt ausgeführten Techniken zu erkennen. Da immer mehr und schneller neue Malware erstellt wird und diese nicht immer zeitnahe in die Signaturendatenbank aufgenommen werden kann, steigt die Bedeutung der proaktiven Suche enorm. Heuristik Eine Heuristik bezeichnet ein Lösungsverfahren, dass mit begrenztem Wissen und wenig Zeit durchgeführt wird. Man versucht also die Schädlinge durch ihre grundlegenden Merkmale aufzufinden. Dieser Teil ist nicht besonders effektiv und dient nur als ergänzende Funktion. Denn wie die Hersteller der Antivirensoftware entwickeln auch die Malwareautoren ihre Programme weiter und prüfen ihre neuesten Werke meist mit der gängigsten Antivirensoftware. Sandbox Eine Sandbox ist vereinfacht ein Computer im Computer. Er soll als abgegrenzter Bereich dienen, um dort den zu prüfenden Code auszuführen. Verhält sich das Programm fragwürdig, wird eine Warnung oder Alarm gegeben. Zusätzlich erhält man Informationen über den Schadensverlauf. Dieses Verfahren wurde durch Mitarbeiter von Norman 14 vorgestellt und ist eine echte Bereicherung in der proaktiven Suche. Es ist sehr rechenintensiv, findet aber ca. ein Drittel unbekannter Malware. Verhaltensanalyse Die Verhaltensanalyse schreitet ein, wenn eine bestimmte Anzahl von verdächtigen Aktionen überschritten wurde. Bei der Verletzung von Regeln - wie z.b. Festplatte formatieren, wird sofort interveniert. 14 norwegischer Hersteller von Software zum Schutz vor Malware 14

18 6 Rechtslage 5.3 Firewall Eine Firewall kontrolliert die aufgebauten Verbindungen zu anderen Computern im Intraund Internet. Richtig konfiguriert können unerwünschte Zugriffe blockiert werden. Hardware Eine Hardwarefirewall ist z.b. ein DSL-Router. Es ist ein Gerät, welches zwischen Computer und Internet geschalten ist und die Kommunikation regelt, indem dieser als Vermittler dient. Damit hat man unter anderem Schutz vor Spam oder auch Computerviren/-würmern. Software Eine Softwarelösung versucht, das System ebenfalls vor Malware und anderen unerwünschten Daten zu schützen. Hier unterscheidet man zwischen der Firewall auf dem eigenen Rechner und einer Proxy 15 -Firewall. Allgemein kann man sagen, dass die Firewall auf dem eigenen System nur als zusätzlicher Schutz für eine Proxy Firewall dienen sollte, denn diese kann auf dem eigenen System von Malware umgangen werden. Dahingegen ist es bei einem Proxyserver nahezu unmöglich, diesen zu umgehen und z.b. unerwünschte Verbindungen aufzubauen (z.b. durch Dialer). 6 Rechtslage Im folgenden Abschnitt werden die wichtigsten Paragraphen genannt, die bei der Verurteilung einer Person, die Malware entsprechend ausgenutzt hat, Anwendung finden. Besonders wichtig zu erwähnen ist die Gesetzesänderung im 303 b Computersabotage, die zur Bekämpfung der Computerkriminalität abgeändert wurde. Nun kann in besonders schweren Fällen eine Strafe von bis zu 10 Jahren (vorher maximal 5 Jahre) verhängt werden. Das kann man auf fahrlässige Handhabung mit Malware zurück führen, die beträchtliche Schäden herbei geführt habt, insbesondere für die Bundesrepublik und deren Einrichtungen (z.b. Sasser Weltweite Ausfälle - u.a. von Krankenhäusern). (Bun10e) (vir10) 6.1 StGB 202 a Ausspähen von Daten (1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. (Bun10a) 6.2 StGB 263 a Computerbetrug (1) Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, 15 lat. proximus = der Nächste 15

19 6 Rechtslage dass er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflusst, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft. (2) 263 Abs. 2 bis 7 gilt entsprechend. (3) Wer eine Straftat nach Absatz 1 vorbereitet, indem er Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, feilhält, verwahrt oder einem anderen überlässt, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (4) In den Fällen des Absatzes 3 gilt 149 Abs. 2 und 3 entsprechend. (Bun10b) 6.3 StGB 303 a Datenveränderung (1) Wer rechtswidrig Daten ( 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. (2) Der Versuch ist strafbar. (3) Für die Vorbereitung einer Straftat nach Absatz 1 gilt 202c entsprechend. (Bun10c) 6.4 StGB 303 b Computersabotage (1) Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er 1. eine Tat nach 303a Abs. 1 begeht, 2. Daten ( 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt oder 3. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Handelt es sich um eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe. (3) Der Versuch ist strafbar. (4) In besonders schweren Fällen des Absatzes 2 ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter 1. einen Vermögensverlust großen Ausmaßes herbeiführt, 2. gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Computersabotage verbunden hat, 3. durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutschland 16

20 7 Zusammenfassung beeinträchtigt. (5) Für die Vorbereitung einer Straftat nach Absatz 1 gilt 202c entsprechend. (Bun10d) 6.5 In-Umlauf-bringen Wer einen Schädling in Umlauf bringt, verliert zwar meist den Einfluss auf das Programm, nicht jedoch die strafrechtliche Verantwortung. In Abhängigkeit von dem entstanden Schaden werden die oben aufgeführten Paragraphen angewandt. Bei Verdacht wird sofort der Computer zur Beweissicherung eingezogen und meistens auch als Tatmittel einbehalten. 6.6 Verschicken Grundsätzlich ist das Verschicken von Schadprogrammen strafbar, jedoch kann man durch die Mechanismen von z.b. Computerwürmern unabsichtlich zur Verbreitung beitragen. Absichtlich Das absichtliche Verschicken von Malware ist grundsätzlich verboten und wird entsprechend bestraft. Unabsichtlich Bei unabsichtlichem Verschicken von Malware ist zu beachten, ob dies privat oder in einer Firma geschieht. Prinzipiell muss man nachweisen, dass es unabsichtlich geschehen ist. Firmen müssen zusätzlich einen Nachweis für gängige Schutzmaßnahmen gegen Malware, wie z.b. eine Anti-Viren-Software, erbringen. 7 Zusammenfassung Computerviren, Computerwürmer und Trojanische Pferde bedienen sich unterschiedlichster Mechanismen, um eine große Verbreitung zu erzielen. Wenn man weiß, worauf man achten muss, kann man fast alle Schädlinge erkennen und die Gefahr abwenden. Die in dieser Arbeitung vorgestellten Mechanismen sind nur ein Teil des Ganzen, deshalb ist es wichtig, sich regelmäßig über die neuesten Techniken zu informieren, um keinen Schaden davon zu tragen. Meistens ist es der Nutzer, der nachlässig handelt und das System so infiziert. Schützen kann man sich zusätzlich durch Hard- und Software, jedoch sollte dies nicht die aufmerksame und kritische Prüfung neuer Sachverhalte vermindern. Grundsätzlich ist es verboten, Malware in Umlauf zu bringen und kann Strafen bis zu 10 Jahre nach sich ziehen. Folgende Literatur kann genutzt werden, um das Themengebiet weiter zu vertiefen: (Jan07), (Wol08), (Kla06), (Kas08). 17