Einführung in die Virologie mobiler Geräte Alexander Gostev. Senior Virus Analyst September 2006

Transkript

1 Einführung in die Virologie mobiler Geräte Alexander Gostev. Senior Virus Analyst September 2006 Im Juni 2006 sind genau zwei Jahre vergangen, seit Kaspersky Lab den ersten Virus für Mobilfunk gefunden hat. Heute wissen wir, dass er von einem Mitglied der bekannten internationalen Virenschreiber-Gruppe 29A programmiert wurde. Bekannt ist dieses Mitglied unter dem Pseudonym Vallez. Die Büchse der Pandora wurde geöffnet. Als Folge befinden sich gegenwärtig hunderte Trojaner und Viren, die Mobiletelefone angreifen, in den Archiven verschiedenerer Antiviren- Hersteller. Das kleine Bächlein neuer im Jahr 2004 erschienener -Arten, wandelte sich in einen wasserreichen Fluss und droht in Kürze zu einem reißenden Strom zu werden. Jede Woche verergänzen wir unsere Antiviren-Datenbanken mit Dutzenden von Trojanern, die in ihrem Namen das Präfix "SymbOS enthalten. Bedauerlicherweise begleitet dieser Prozess die bereits existierenden und stark wachsenden neue Epidemien mobiler Würmer, deren reales Ausmaß zurzeit schwer einschätzbar ist. Zuerst wurde der Virus Cabir entdeckt, anschließend wendeten sich immer mehr Betroffene an uns und wir wurden Zeugen von tatsächlichen Infektionen. Mittlerweile wurden bereits mehrere unsere Mitarbeiter in Moskau mit solchen Würmern konfrontiert. Mögliche Ursache für die schnelle Verbreitung der mobilen Würmer ist das geringere Computer-Wissen bei den Anwendern von Mobiltelefonen. Andererseits nehmen sogar erfahrene Handy-Benutzer die Virengefahr für mobile Geräte kaum wahr und sehen sie eher als Problem der Zukunft. Doch mobile Viren sind keine Phantasie. Sie existieren tatsächlich hier und jetzt. Jedesmal, wenn Sie die U-Bahn benutzen, ins Kino gehen oder von einem großen Flughafen irgendwohin fliegen, befindet sich Ihr Handy in unmittelbarer Gefahr. Uns steht sicher noch ein langer Weg bevor, bis die Handy-Nutzer die Sicherheit ihrer Geräte so ernst nehmen, wie es mittlerweile viele computernutzer tun. Der Anfang Am 14. Juni 2004 erhielten wir unter der -Adresse eine Nachricht von dem spanischen Virensammler VirusBuster, der einen engen Kontakt zu einigen Virenautoren hat. Als Anhang wurde eine Datei namens caribe.sis gesendet, die uns damals völlig unbekannt war. Bei schneller Dateianalyse wurde festgestellt, dass es sich dabei um eine Anwendung für das handelt, die auch gleichzeitig ein Installer-Archiv mit weiteren Dateien enthielt. In der Regel arbeiten die Virenanalysten mit den für X86-Prozessoren geschriebenen Dateien. Die Dateien von caribe.sis waren aber Anwendungen für den in diversen Mikroanlagen (darunter auch in Handys) oft verwendeten ARM-Prozessor dar. Zwar war den Analysten die Programmiersprache dieses Prozessors nicht bekannt, doch sie stellten schnell fest, dass es sich um einen neuen Virus für Mobiltelefone handelt, der sich über Bluetooth verbreitet. Noch am selben Tag wurde der Wurm auf einem Nokia N-Gage unter OS vollständig getestet. Der Wurm ist vom Autor Vallez erstellt worden, der nach unseren Erkenntnissen in Frankreich wohnt und damals Mitglied der Virenautoren-Gruppe 29A war. Diese Gruppe erstellte neue Viren für nicht übliche e und Anwendungen, um den Antiviren- Herstellern und anderen Virenschreibern neue mögliche Angriffsziele aufzuzeigen. Damals wurde die Erstellung eines Schadprogramms für Smartphones als neues Ziel definiert. Für

2 die Wurmverbreitung wurde ebenfalls eine damals neue und noch ungewöhnliche Art gewählt. An die Verbreitung per Mail hatten wir uns schon gewohnt, doch Cabir nutzte das Bluetooth-Protokoll. Als Plattform wurde OS verwendet, das damals wie heute das führende für Mobiltelefone war. Hauptsächlich ist die Führungsposition dieses s dadurch bedingt, dass in Nokia-Smartphones verwendet wird. und Nokia gelten zurzeit tatsächlich als Standard für Smartphones. Es wird noch einige Zeit vergehen, bis Windows Mobile seinen Konkurrenten von der führenden Marktposition verdrängt hat. Auf diese Weise wurde das Gesetz vom Auftreten neuer Computerviren erneut demonstriert, das besagt, dass für die Erstellung eines Schadprogramms für ein beliebiges oder eine beliebige Plattform drei Voraussetzungen notwendig sind: 1. Popularität des s war und ist das populärste für Smartphones. Die Gesamtzahl der weltweiten Handybenutzer beträgt viele Millionen. Dazu der Autor von Cabir: kann in Zukunft ein sehr weit verbreitetes für Mobiltelefone werden. Es ist bereits heute sehr verbreitet und könnte es meiner Meinung nach noch mehr sein. (Microsoft versucht auch auf diesem Markt präsent zu sein). 2. Gut dokumentierte Entwicklungsumgebung Noch einmal der Autor von Cabir: Cabir wurde in C++ entwickelt. und Nokia geben uns die komplette Entwicklungsumgebung (SDK) für Anwendungsentwicklungen unter dem 3. Schwachstellen bzw. Fehler des s Die Plattform enthält einige schwerwiegende Fehler bei der Arbeit mit Dateien und Diensten. Im Falle des Wurms Cabir wurden sie nicht genutzt, bei der Mehrheit der modernen Trojaner für Handys werden sie jedoch in vollem Maße ausgenutzt. Cabir hat sofort die Aufmerksamkeit nicht nur der Antiviren-Hersteller, sondern auch vieler anderer Virenautoren auf sich gezogen. Alle warteten auf das Erscheinen der nächsten Ausgabe der elektronischen Zeitschrift der Gruppe 29A. Dort sollte traditionsgemäß der Quellcode des Wurms veröffentlicht werden. Allen war klar, dass diese Veröffentlichung zum Entstehen zahlreicher neuer, bedrohlicherer Modifikationen führen wird. Das passiert immer, wenn Technologien dieser Art in die Hände von Script-Kiddies oder Kriminellen geraten. Aber auch ohne solche Entwicklungsvorlagen sind junge Hooligans zu vielem fähig.

3 Die existierenden Arten und Gruppen mobiler Viren Im Herbst 2004 haben sich drei Hauptrichtungen von Schädlingen für mobile Geräte herauskristallisiert. Eine davon war die Entwicklung von Trojanern. Das erste Exemplar war Mosquit.a. Eigentlich ein harmloses Spiel für Mobiltelefone, begann es allmählich, eine Menge von SMS-Nachrichten an alle aus dem Adressbuch des Nutzers ausgelesenen Empfänger zu versenden. Auf solche Art versuchten die Autoren des Spiels, Werbung dafür zu verbreiten. Tatsächlich war es nicht nur der erste Trojaner für Smartphones, sondern auch die erste AdWare. Der im November im Mobilnetz aufgetauchte Trojaner Skuller.a wurde als Vorreiter gesehen: Gerade dieser Trojaner nutzte einen Fehler des s aus, der einer Anwendung das Überschreiben der Systemdateien ermöglichte. Sicherheitsabfragen gab es nicht. Der Trojaner ersetzte alle Icons der vorhandenen Anwendungen mit einem Totenkopf und entfernte gleichzeitig alle Anwendungsdateien. Dadurch funktionierte das Telefon nach dem Neustart nicht mehr. Das Prinzip der so genannten "Trojaner-Vandalen" genießt momentan die höchste Popularität bei den Virenentwicklern. Der Trojaner Skuller. A Fast gleichzeitig mit Skuller.a haben drei neue Cabir-Modifikationen das Licht der Welt erblickt, die allerdings nicht auf dem Quellcode des Originalwurms basieren. Zu diesem Zeitpunkt geriet der Cabir-Quellcode in die Hände anderer Virenschreiber und einige von ihnen wandten den beliebten Trick der Script-Kiddies an: Einfach die Wurm-Dateien umbenennen sowie Änderungen einiger Original-Kommentare in seinem Code. Eine der Cabir-Modifikationen wurde etwas verbessert, indem ihr Archiv zusätzlich den Skuller-Wurm enthielt. Der daraus entstandene Hybrid-Wurm hatte keinen besonderen Sinn: Er konnte sich nicht vermehren, da der Trojaner das Mobiltelefon außer Betrieb setzte. Allerdings war es ein erstes Beispiel der Verwendung eines Cabir-Wurms als Träger" anderer Schadprogramme. Zum Jahresanfang 2005 sahen wir die wichtigen Hauptarten der mobilen Viren, an denen die Virenautoren bisher auch festhalten: - Würmer, die sich über Smartphone-typische Protokolle und Dienste verbreiten - Trojaner-Vandalen, die die -Sicherheitslücken für das Eindringen ins System ausnutzen - Trojaner zur finanziellen Bereicherung Doch ungeachtet der wenigen Hauptarten existiert in der Praxis eine Vielfalt an Modifikationen und Arten. Kaspersky Lab verfügt gegenwärtig über 31 Schadprogrammfamilien für Mobiltelefone. Folgende Tabelle stellt wichtige Merkmale dieser Familien dar:

4 Name Datum der Erkennung Betriebssyste m Worm.SymbOS.Cabir Juni 2004 Virus.WinCE.Duts Juli 2004 Windows CE Backdoor.WinCE.Brador Trojan.SymbOS.Mosquit Trojan.SymbOS.Skuller Worm.SymbOS.Lasco Trojan.SymbOS.Locknut August 2004 August 2004 November 2004 Januar 2005 Februar 2005 Windows CE Verbreitungsart Verbreitung über Bluetooth Infizierung von Dateien ermöglicht externen Zugriff über das Internet Technologische Grundlage der Schadfunktion Bluetooth 15 (File API) 1 (Network API) 2 SMS-Versand SMS 1 Trojan.SymbOS.Dampig März 2005 Worm.SymbOS.ComWar März 2005 Trojan.SymbOS.Drever März 2005 Trojan.SymbOS.Fontal April 2005 Trojan.SymbOS.Hobble April 2005 Trojan.SymbOS.Appdisabl er Mai 2005 Trojan.SymbOS.Doombot Juni 2005 Trojan.SymbOS.Blankfont Juli 2005 Trojan.SymbOS.Skudoo Trojan.SymbOS.Singlejum p August 2005 August 2005 Datei-Icons und System- Anwendungen Verbreitung über Bluetooth, Infizierung von Dateien Installation beschädigter Anwendungen Austausch von System- Anwendungen Verbreitung über Bluetooth und MMS, Infizierung von Dateien Programmdienste von Antivirus- Programmen Schrift-Dateien System- Anwendungen System- Anwendungen System- Anwendungen, Installation von Comwar Schrift-Dateien Installation beschädigter Anwendungen, Installation von Cabir, Skuller, Doombor Ausschaltung von Systemfunktionen, Bluetooth, File API Bluetooth, File API MMS, Anzahl Modifi kation en

5 Trojan.SymbOS.Bootton Trojan.SymbOS.Cardtrap Trojan.SymbOS.Cardblock Trojan.SymbOS.Pbstealer Trojan- Dropper.SymbOS.Agent Trojan- SMS.J2ME.RedBrowser August 2005 September 2005 Oktober 2005 November 2005 Dezember 2005 Februar 2006 Worm.MSIL.Cxover März 2006 Icons Installation beschädigter Anwendungen, Installation von Cabir Entfernung der Antiviren-Dateien, System- Anwendungen, Installation von Win32-Malware auf der Speicherkarte Sperren der Speicherkarte, Löschen von Systemverzeichnis sen Diebstahl von Daten (Adressbuch) Installation anderer Schadprogramme, File API Bluetooth, File API 5 J2ME SMS-Versand Java, SMS 2 Windows Mobile/.NET Worm.SymbOS.StealWar März Worm.MSIL.Letum März 2006 Trojan- Spy.SymbOS.Flexispy April 2006 Windows Mobile/.NET Trojan.SymbOS.Rommwar April 2006 Trojan.SymbOS.Arifat Trojan.SymbOS.Romride Juni 2006 Worm.SymbOS.Mobler.a 31 Familien August 2006 Löschen von Dateien, Selbstinstallation auf andere Geräte Diebstahl von Daten, Weiterverbreitung über Bluetooth und MMS Verbreitung per E- Mail Diebstahl von Daten System- Anwendungen System- Anwendungen Entfernung der Antiviren-Dateien, System- Anwendungen, Vermehrung über Speicherkarte File (API), NetWork (API) Bluetooth, File (API) MMS, , File (API) Vollständige Liste der bekannten Gruppen mobiler Viren nach der Klassifikation von Kaspersky Lab (Stand: 30. August 2006) Modifik a- tionen

6 Was können mobile Viren? sich über Bluetooth und MMS verbreiten SMS versenden Dateien infizieren externen Zugriff auf Smartphones ermöglichen Datei-Icons und System-Anwendungen austauschen Schriften modifizieren, andere Anwendungen installieren Antiviren-Funktionen bekämpfen andere Schadprogramme installieren Speicherkarten sperren Informationen stehlen Mobile Viren besitzen die selben Funktionen wie auch Computerviren. Allerdings waren im Computerbereich mehr als zwanzig Jahre erforderlich, um das ganze Spektrum an Viren und Arbeitsweisen hervorzubringen. Die mobilen Viren schafften diesen Weg innerhalb von nur zwei Jahren. Zweifellos haben wie es hier mit dem dynamischsten und sich am schnellsten entwickelnden Gebiet von Schadprogrammen zu tun, wobei der Höhepunkt seiner Entwicklung offensichtlich noch nicht erreicht ist. Die Grundlagen Einer der technologischen Hauptunterschiede zwischen mobilen Viren und anderen modernen Bedrohungen ist, dass unabhängig vom Übermaß der zahlreichen mobilen Virenfamilien eine äußerst beschränkte Anzahl von primären Schadprogrammen existiert. Dies ist mit dem Entwicklungsstand der Computerviren in den späten 80er Jahren vergleichbar. Damals existierten hunderte von Viren, deren Kern aus einem einzigen Basis- Schadprogramm sowie seinen Quellcodes bestand. Die drei Viren Vienna, Stoned und Jerusalem waren der Ursprung einer Vielzahl anderer Schädlingsarten. Folgende Schadprogramme würde ich in die Kategorie der so genannten Ur-Erreger mobiler Viren einordnen: - Cabir - Comwar - Skuller.gen Cabir Aus Cabir entstanden nicht nur seine eigenen Varianten, die sich nur durch Dateinamen und die Zusammenstellung ihrer Installationsdatei (SIS-Datei) unterscheiden. Auf der Grundlage des Quellcodes wurden zudem auch eigenständige und auf den ersten Blick völlig unähnliche Schädlings-Familien wie StealWar, Lasco und Pbstealer geschaffen. Lasco Der Wurm Lasco trat als erster dieser eigenständigen Familien auf. Außer seinen Wurm- Funktionalitäten konnte er Dateien infizieren. Vor allem die Geschichte der Lasco- Entstehung zeigt, wozu die Veröffentlichung von Viren-Quellcodes führt: Markos Velasko, ein selbst ernannter Experte auf dem Gebiet mobiler Viren, bekam den Quellcode von Cabir und beschäftigte sich direkt mit dem Virenschreiben. Ende 2004 hat er mehrere eigene Cabir-Modifikationen gleichzeitig an verschiedene Antiviren-Hersteller gesendet. Einige Exemplare davon waren völlig unbrauchbar. Alle von Velasco versandten Exemplare wurden von Antiviren-Experten als neue Cabir-Varianten eingestuft. Diese

7 Klassifikation stellte den Virenautor nicht zufrieden und er versuchte, berühmt zu werden, indem er eine Variante des Wurms schuf, die auch die -Dateien (sis-archive) infizieren konnte. Damit war der neue Wurm Lasco entstanden. Zum Glück hat die Idee der Infizierung von Dateien kein Interesse unter den Virenautoren geweckt, obwohl Markos Velasko die Quellcodes seines Werks im Internet veröffentlicht hat. Bis heute ist nicht sicher, ob Cabir tatsächlich als Grundlage von Lasco verwendet wurde. Velaskos behauptete, den kompletten Code selbst geschrieben zu haben, doch die Menge von Dateien, ihre Namen und Größen sowie die Funktionsweise des Wurms stimmen mit Cabir mehrfach überein. Sie können selbst eine der Hauptfunktionen beider Würmer vergleichen und eigene Schlussfolgerungen ziehen: Funktion zur Verbreitung über Bluetooth bei Cabir: if(withaddress) { WithAddress = 0; Cancel(); TBTSockAddr btaddr(entry().iaddr); TBTDevAddr devaddr; devaddr = btaddr.btaddr(); TObexBluetoothProtocolInfo obexbtprotoinfo; obexbtprotoinfo.itransport.copy(_l("rfcomm")); obexbtprotoinfo.iaddr.setbtaddr(devaddr); obexbtprotoinfo.iaddr.setport(0x ); obexclient = CObexClient::NewL(obexBTProtoInfo); if(obexclient) { istate = 1; istatus = KRequestPending; Cancel(); obexclient->connect(istatus); SetActive(); } } else { istate = 3; User::After( ); } return 0; Funktion zur Verbreitung über Bluetooth bei Lasco: if ( FoundCell ) { FoundCell = _NOT; Cancel(); TBTSockAddr addr( entry().iaddr );

8 TBTDevAddr btaddress; btaddress = addr.btaddr(); TObexBluetoothProtocolInfo obexprotocolinfo; obexprotocolinfo.itransport.copy( _L( "RFCOMM" ) ); obexprotocolinfo.iaddr.setbtaddr( btaddress ); obexprotocolinfo.iaddr.setport( 9 ); if ( ( iclient = CObexClient::NewL( obexprotocolinfo ) ) ) { istatus = KRequestPending; BluetoothStatus = _BLUETOOTH_NOT_CONNECTED; Cancel(); iclient->connect( istatus ); SetActive(); } } else { BluetoothStatus = _BLUETOOTH_CONNECTED; } } Pbstealer Betrachten wir noch einen Cabir-Nachfolger, der zudem die erste Trojan-Spyware für darstellte: Pbstealer. Das in China entwickelte Schadprogramm wurde auf einer gehackten koreanischen Web-Seite mit dem Online-Spiel Legend of Mir entdeckt. Diese Art der Verbreitung sowie eine eindeutige kriminelle Ausrichtung des Trojaners zeigten, welche Folgen die guten Vorsätze des Cabir-Autors haben. Von Cabir hat dieser Trojaner ebenfalls die Bluetooth-Verbreitung übernommen. Jedoch haben die Autoren diesmal eine bedeutende Veränderung im Quellcode vorgenommen: Der Trojaner liest die Adressdatenbank des Handys aus und speichert sie in einer Textdatei. Diese wird per Bluetooth an das nächste gefundene Gerät in Reichweite versendet. Daraus entstand seine Bezeichnung Pbstealer Phonebook Stealer. Bis zu diesem Zeitpunkt verwendeten die Cyber-Kriminellen für einen Diebstahl solcher Informationen verschiedene Sicherheitslücken des Bluetooth-Protokolls (zum Beispiel BlueSnarf). Mit dem Auftauchen dieses Trojaners haben sich die Möglichkeiten der Cyber-Verbrecher bedeutend erweitert. Natürlich wurde Cabir zum beliebten "Träger" allerlei anderer Trojaner. Über die Hälfte der Skuller, Appdisabler, Locknuts, Cardtraps und der übrigen Vandalen enthalten den modifizierte Quellcode von Cabir, der nicht nur sich selbst versendet, sondern auch das komplette Paket der Trojaner. Wie wir noch sehen werden, verursachen solche Verhaltensweisen sowie die Hybridisierung von Schadprogrammen wesentliche Komplikationen bei der Klassifizierung vieler Schadprogramme. Comwar Ein zweiter Meilenstein in der Entwicklung mobiler Schädlinge wurde der Wurm Comwar, der sich erstmals über MMS verbreitete. Wie auch Cabir kann er sich ebenfalls über Bluetooth

9 vermehren, doch hauptsächlich verteilt er sich per MMS-Versand. Unter Berücksichtigung seines Ausmaßes muss man das als gefährlichste aller Verbreitungsarten bezeichnen. Die Reichweite von Bluetooth-fähigen Geräten beträgt 10 bis 15 Meter. Nur innerhalb dieser Reichweite können andere Geräte infiziert werden. MMS hat dagegen keinerlei Grenzen und ist in der Lage, sich von einem Land ins nächste blitzschnell auszubreiten. Der Autor von Cabir hat diese Verbreitung aus ideologischen Gründen der Gruppe 29A zugunsten der Bluetooth-Verbreitung ausgeschlossen: MMS: Es ist einfach, über eine Suchfunktion die Telefonnummern zu selektieren und an jeweils eine MMS-Nachricht mit beigefügtem Wurm zu versenden. Allerdings haben wir dabei zwei Probleme: - wir wissen nicht genau, an welche Telefontypen die MMS-Nachricht versendet wird und ob dieses Telefon in der Lage ist, die MMS zu erhalten und den Wurm auszuführen - die Telefonkosten werden aber in jedem Fall verursacht " Der zweite Punkt ist dabei interessant, denn er zeigt, dass der Cabir-Autor jegliche finanzielle Schäden des Benutzers vermeiden wollte, ganz im Gegensatz zum Comwar- Autor, den dieses Problem überhaupt nicht berührte. Die Technologie des MMS-Versands ist für Virenschreiber sehr attraktiv. Doch vorerst haben wir es nur mit den gewöhnlichen Tricks zu tun, während sich einige würdelose Hacker ausschließlich auf die Modifizierung von Dateinamen und Kommentaren der Originaldateien ohne Comwar-Funktionen beschränkt haben. Das hängt damit zusammen, dass die Comwar-Quellcodes nicht veröffentlicht wurden und Script-Kiddies den MMS-Versand noch nicht anwenden können. Derzeit sind uns sieben Modifikationen des Comwar-Wurms bekannt, von denen vier als vom ursprünglichen Autor programmiert gelten: Comwar.a: CommWarrior v1.0b (c) 2005 by e10d0r CommWarrior is freeware product. You may freely distribute it in it's original unmodified form. Comwar.b: CommWarrior v1.0 (c) 2005 by e10d0r CommWarrior is freeware product. You may freely distribute it in it's original unmodified form. Comwar.c: CommWarrior Outcast: The dark side of Force. CommWarrior v2.0-pro. Copyright (c) 2005 by e10d0r CommWarrior is freeware product. You may freely distribute it in it's original unmodified form. With best regards from Russia. Comwar.d: Enthält keinen Kommentar. Die MMS-Nachrichten sind geändert und in spanischer Sprache geschrieben. Comwar.e: WarriorLand v1.0a (c) 2006 by Leslie Enthält ebenfalls spanischen Text. Comwar.f: Enthält keinen Kommentar. Die MMS-Nachrichten sind geändert und in spanischer Sprache geschrieben.

10 Comwar.g: CommWarrior Outcast: The Dark Masters of. The Dark Side has more power! CommWarrior v3.0 Copyright (c) by e10d0r CommWarrior is freeware product. You may freely distribute it in it's original unmodified form. In der Variante Comwar.g verwendete der Autor zum ersten Mal die Möglichkeit der Datei- Infizierung. Der Wurm sucht andere SIS-Dateien im Telefon und trägt sich in sie ein. Auf solche Weise bekommt er noch eine weitere Verbreitungsmöglichkeit zu den herkömmlichen Vermehrungsvarianten über MMS und Bluetooth. Bemerkenswert ist die Tatsache, dass Comwar noch nicht Stammvater einer Menge anderer Virenfamilien wurde. Das ist vor allem auf seinen unveröffentlichten Quellcode zurück zu führen. Allerdings wird Comwar, wie auch Cabir, als "Träger" anderer Trojaner verwendet. Einzig der Trojaner Stealwar gilt als Stammvater einer neuen Familie, die auf Comwar aufbaut. Er ist ein Wurm, der Teile von Cabir, Comwar und dem Trojaner Pbstealer enthält und somit eine stärkere Fähigkeit zur Vermehrung sowie ein höheres Gefahrenpotential aufweist. Das Prinzip des MMS-Versands wird jedoch alle anderen Arten der Vermehrung mobiler Viren unvermeidlich überwiegen. Vor allem, da bereits eine schwerwiegende Schwachstelle in der MMS-Anwendung unter Windows Mobile 2003 bekannt ist, die zu einem Buffer Overlow sowie zur Ausführung eines willkürlichen Codes führt. Aufgedeckt wurde diese Sicherheitslücke von Collin Mulliner auf der Hackermesse Defcon im August dieses Jahres. MMS-Sicherheitslücke (Collin Mulliner, Vortrag "Advanced Attacks Against PocketPC Phones") Die Einzelheiten dieses Fehlers sind bis zum Erscheinung des Microsoft-Updates für die Öffentlichkeit nicht zugänglich. Die Gefahr ist aber dennoch nicht zu unterschätzen. Wird ein Wurm entwickelt, der durch eine manipulierte MMS einen Schadcode auf Smartphones einschleust und ohne Sicherheitsabfrage ausführen lässt, kann es eine globale Virenepidemie geben.

11 Zudem hat Comwar in seiner C-Variante zum ersten Mal die Rootkit-Technologie verwendet. Der Wurm verbirgt sich in der Liste der Prozesse und ist im Task-Manager unter den gestarteten Anwendungen nicht sichtbar, da er den Typ seines Prozesses als sis-datei (System-Datei) definiert. Doch mit Hilfe anderer Programme, die gestartete Anwendungen und Prozesse auflisten, kann man ihn problemlos entdecken. Auch andere Schadprogramme für verwenden derzeit eine ähnliche Art und Weise des Verbergens. Skuller Wie bereits erwähnt wurde, ist Skuller der Vorreiter der bislang größten Gruppe von Mobil- Trojanern. Bis zum 1. September 2006 haben wir 31 Varianten davon klassifiziert. Das ist nicht verwunderlich, da sie zu den primitivsten Schadprogrammen unter zählen. Einen solchen Trojaner kann jeder entwickeln, der mit einem Tool zur Erstellung von sis-dateien umgehen kann. Der Rest wird von -Sicherheitslücken erledigt, etwa die Überschreibung beliebiger Dateien, einschließlich der Systemdateien, oder eine Instabilität des Systems beim unerwarteten Aufruf von fremden beziehungsweise geschädigten Dateien. Als Grundlage der meisten Skuller-Varianten dienen zwei Dateien, die wir Skuller.gen benennen. Gerade diese Dateien haben eine Besonderheit, die diese Viren-Familie von ähnlichen Gruppen wie Doombot oder Skudoo eindeutig unterscheidet: - eine Datei mit dem Namen der zum Austausch vorgesehenen Anwendung, mit der Erweiterung.aif und mit einer Dateigröße von Byte. Das ist eine Icon- Datei mit der Darstellung eines Totenkopfes. Außerdem enthält diese Datei die Textzeile " Skulls Skulls - eine Datei mit dem Namen der zum Austausch vorgesehenen Anwendung, mit der Erweiterung.app und einer Dateigröße von Byte. Das ist eine EPOC- Anwendung, die Datei ist leer und enthält keine Funktionen Probleme der Virenklassifikation Eines der Hauptprobleme der mobilen Virologie ist die Viren-Klassifikation. Unter einer Klassifikation verstehe ich die Einordnung neuer Viren in Klassen, entsprechend ihrem Typ und ihrem Verhalten. Es entstehen dabei einige Schwierigkeiten, da die mobilen Schadprogramme eine erhöhte Neigung zur "Hybridisierung" auszeichnet. Die von Kaspersky Lab verwendete Klassifikation hat eine eindeutige Struktur: - Verdikt des Verhaltens, Antwort auf die Fragen Was ist es? und Was macht es?, Beispiele: -Wurm, Trojan-Downloader, Trojan-Dropper - notwendige Arbeitsumgebung, Bezeichnung des s oder der konkreten Anwendung, Beispiele: Win32, MSWord, Linux, VBS - Bezeichnung der Viren-Familie, Buchstabe für die Bezeichnung der Modifikation Beim letzten Punkt gibt es kaum Probleme, jedes Schadprogramm hat seinen einzigartigen Namen. Die Schwierigkeit besteht nur bei der Auswahl einer Bezeichnung, wovon später noch ausführlicher die Rede ist. Einige Probleme können bei der Bestimmung einer Arbeitsumgebung mobiler Viren entstehen. Überwiegend handelt es sich um Schadprogramme für und wir

12 verwenden für sie das Präfix SymbOS. Allerdings merken wir immer wieder, dass immer wichtiger wird, zu sagen, ob ein Schadprogramm ausschließlich auf Series 60 SE funktioniert oder ob es auch auf Series 80 beziehungsweise Series 90 arbeitet. Für Windows-e haben wir in der Klassifizierung eine ähnliche Spaltung: Win16, Win9x, Win32. Ich kann nicht ausschließen, dass wir in Zukunft einige Ziffernbezeichnungen für das SymbOS-Präfix einführen müssen. Allerdings ist das noch relativ leicht. Wenn wir Windows Mobile genauer betrachten, werden wir eine wesentlich kompliziertere Situation bekommen. Wir haben Viren, die für Windows CE 2003 geschrieben wurden, dafür ist in der Klassifikation das Präfix WinCE vorgesehen. Schadprogramme für Windows Mobile 5.0 können unter dem älteren nicht funktionieren, so dass also der Begriff WinCE nicht einfach als Synonym für Windows Mobile beziehungsweise Pocket PC nicht ganz korrekt ist, obwohl beide nur unterschiedliche Versionen von Windows CE sind. Jede einzelne Plattform verwendet ihr eigenes Paket der Windows-CE-Komponenten sowie zusätzlich einen eigenen Satz eingebetteter Besonderheiten und Anwendungen. Auf diese Weise können wir momentan die genaue Bezeichnung des für einen Virus notwendigen s nicht definieren. Außerdem fordert eine Reihe von Viren für seine Arbeit die Erweiterung.NET für WinCE/Windows Mobile. Für diese Schädlinge verwenden wir das Standard-Präfix MSIL, obwohl dies nicht unbedingt auf einen mobilen Virus hinweist. Wenn Sie das bereits verwirrt hat, kann ich noch etwas draufsetzen: Wir nähen uns dem kompliziertestem Teil der Klassifikation der Zuordnung eines Virus zu einem konkreten Verhaltungstyp. Die Probleme entstehen hier durch die "Hybridisierung" von Viren, das Erscheinen von plattformübergreifenden Schadprogrammen für mobile Geräte sowie mit dem unterschiedlichen Herangehen verschiedener Antiviren-Hersteller zur Vireneinstufung. Sehen wir uns einige Beispiele genauer an: Die Virenanalysten von Kaspersky Lab stehen immer wieder vor dem Problem, dass eine bestimmte sis-datei (also ein Archiv-Installer) einerseits typische Dateien des Trojaners Locknut wie Cabir, ComWar, PbStealer, einzelne Skuller.gen-Dateien sowie einige leere Dateien (Dateigröße 0 Byte) enthält und andererseits noch zusätzlich den Trojaner Cardtrap auf die Speicherkarte des Telefons installiert. Entsprechend der bestehenden Viren-Klassifikation sollten wir die vorliegende Datei als Trojan-Dropper einstufen. Wir dürfen es aber in diesem Fall nicht tun, denn der eingeschleuste Wurm Cabir wird sich über eine Bluetooth-Verbindung nicht selbst verbreiten, sondern die genannte sis-datei. Bedeutet das, dass er in diesem Fall eigentlich auch als Wurm betrachtet werden sollte? Doch welchen Namen bekommt dieser Wurm? Cabir? Nein, ihn darf man auf keinen Fall Cabir nennen und nur einen Buchstaben für eine neue Variante verwenden, da etwa 90 Prozent dieser sis-datei mit Cabir nichts zu tun hat. Damit würden wir die Benutzer noch mehr verwirren. Man könnte auch die Namen Skuller, Locknut oder Cardtrap verwenden. Doch keine dieser Bezeichnungen ist korrekt, da es sich in diesem Fall um einen neuen Hybrid handelt. Höchstwahrscheinlich wird diese Datei im Endeffekt als Trojaner eingestuft. Die Bezeichnung der Virengruppe wird entsprechend den sekundären Merkmalen, wie zum Beispiel einem erkennbaren Hinweis auf den gleichen Autor, aus unserer bestehender Zusammenstellung ähnlicher Trojaner ausgewählt. Ähnliche Hindernisse bei der Viren-Klassifikation treten im Bereich Computerviren äußerst selten auf.

13 Wenn in Zukunft die Zahl der primitiven Trojaner-Vandalen zurückgeht, wird die Klassifizierung wesentlich leichter werden. Ein ähnliches Problem bereitet ein Wurm, der unter Win32 läuft. Der auf einem infizierten PC gestartete Wurm erstellt unter anderem eine neue sis-datei auf dem Laufwerk E:\ (beim Anschließen eines -Smartphones am PC wird ihm standardgemäß das Laufwerk E:\ zugeordnet). Diese sis-datei enthält einige leere Dateien und überschreibt damit verschiedene Systemanwendungen auf dem Smartphone. Außerdem enthält sie den gleichen Wurm für Win32, der ein -Installations-Paket erzeugt, das eine ausführbare Windows-Datei autorun.inf auf die Speicherkarte des Smartphones schreibt. Beim Zugriff vom PC auf die Speicherkarte startet sich der Wurm automatisch und infiziert wiederum den Computer. Dieses Beispiel zeigt, wie ein Plattform-übergreifender Wurm unter den verschiedenen en und Windows funktionieren kann. Ein solcher Wurm existiert bereits unter dem Namen Mobler. Doch auch hier stehen wir wieder vor dem Problem der Klassifizierung? Für Crossplatform-Würmer verwenden wir das Präfix Multi. Soll der neue Wurm etwa Worm Multi. Mobler heißen? Doch wie erkennt ein Benutzer aus dieser Bezeichnung, dass der vorliegende Wurm für -Smartphones gefährlich ist? Meiner Meinung nach wäre es besser, seinen Namen in zwei Komponenten zu trennen Und seine Win32-Datei als Worm.Win32.Mobler einzustufen und die sis-datei als Worm.SymbOS.Mobler zu klassifizieren. Das Problem besteht aber darin, dass andere Antiviren-Hersteller die sis-datei weder Mobler nennen, noch als Wurm einstufen. Sie nennen ihn Trojan.SymbOS.Cardtrap, da entsprechend ihrer Klassifikation jedes Schadprogramm, das einen Win32-Wurm auf die Smartphone-Speicherkarte einführt, eine Cardtrap-Variante ist. Aber er installiert doch nicht irgendeinen fremden Trojaner, sondern seinen eigenen - besser gesagt, seine für ein anderes geeignete Kopie. Allerdings sind die Antiviren-Hersteller gezwungen, alle nicht dem Standard entsprechenden Fälle, die einem bekannten Schadprogramm ähneln, in die gleiche Klassifikation zu zwängen. Da sich viele mobile Viren in ihrer Verbreitungsart und Verhaltensweise stark voneinander unterscheiden, sind für ihre Definition auch neue Klassen notwendig. So wäre es zum Beispiel logischer, den Wurm Cabir (beziehungsweise beliebige Würmer, die sich über Bluetooth verbreiten etwa den Wurm Inqtana für MacOS) als Bluetooth-Worm zu benennen. Die Würmer, die sich über MMS verbreiten dagegen als MMS-Worm. Wie nennt man dann aber einen Wurm, der sich sowohl über Bluetooth als auch per MMS versendet? Welche dieser zwei Verbreitungsarten ist die wichtigere? Bei Kaspersky Lab wird die MMS-Verbreitung favorisiert, andere Antiviren-Herstellern dagegen bevorzugen die Bluetooth-Vermehrung. Ein Trojaner, der von einem infizierten Telefon SMS-Nachrichten auf gebührenpflichtige Adressen versendet, ist offensichtlich ein Trojan-SMS. Ein Trojaner, der alle ankommenden und ausgehenden SMS-Nachrichten ausspioniert und an den Cyber-Verbrecher weiterleitet, ist ein Trojan-Spy. Oder ist es ebenfalls ein Trojan-SMS? Welche Bezeichnung ist besser, um dem Nutzer das Ansteckungsrisiko deutlich zu machen? Ich kann Dutzende solcher Fragen und Beispiele aufzählen Die Antiviren-Industrie wird sich früher oder später mit der Erarbeitung einer einheitlichen Klassifikation mobiler Viren beschäftigen müssen. Und das sollte schnellstmöglich passieren, damit die Situation nicht ausser Kontrolle gerät und im Begriffs-Chaos endet.