Computer-Viren. Jan Frankenberg Seminararbeit Ruhr-Universität Bochum. Chair for Communication Security Prof. Dr.-Ing.

Transkript

1 Computer-Viren Jan Frankenberg Seminararbeit Ruhr-Universität Bochum Chair for Communication Security Prof. Dr.-Ing. Christof Paar

2

3 Inhaltsverzeichnis 1 Einleitung 1 2 Allgemeines Definition Aufbau eines Computervirus Geschichte der Computerviren Virentypen Generation Programm-Viren Boot-Viren Generation Makro-Viren Retro-Viren Stand der Dinge Zukünftige Viren Auf Anwendungen basierende Viren Auf Inhalt basierende Viren Gemischte Viren Neue Möglichkeiten der Verbreitung Verschiedene Betriebssysteme 15 5 Schäden durch Viren Beabsichtigte Schadensfunktion Unbeabsichtigte Schäden Verbrauch von Speicherplatz Aufwand beim Suchen und Entfernen Kosten durch Prävention Panikreaktionen durch Benutzer Hoaxes

4 ii Inhaltsverzeichnis 6 Gegenmaßnahmen Präventive Maßnahmen Konfiguration Rechtebeschränkung Datenverschlüsselung Digitale Fingerabdrücke Impfung Maßnahmen gegen Makro-Viren Anti-Viren-Werkzeuge Virenscanner Aktivitätskontrolle Zusammenfassung 23

5 1 Einleitung Seit dem ersten Auftreten von Viren in den 80er Jahren haben sie sich im Zuge der allgemeinen Computerentwicklung ebenso weiterentwickelt. Diese Arbeit gibt einen Überblick der verschiedenen bekannten Virentypen, sowie einen Ausblick zu möglichen zukünftigen Virentypen. Außerdem werden die durch Viren entstehenden Schäden und Maßnahmen zum Schutz vor Viren gezeigt.

6 2 Einleitung

7 2 Allgemeines 2.1 Definition Als Computervirus bezeichnet man ein Befehlsfolge, welche zur Ausführung ein Wirtsprogramm bzw. ein Wirtsdokument benötigt. Viren reproduzieren sich selbst, indem sie bei der Ausführung ihres Wirtsprogramms eine Kopie (Reproduktion) oder eine modifizierte Version des Virus (Polymorphismus) in einen Speicherbereich, der diesen Virus noch nicht enthält, schreiben. Dieser Vorgang wird auch als Infektion bezeichnet. Neben dem Teil zur Reproduktion enthalten die meisten Viren auch einen Schadensteil, welcher bedingt oder unbedingt durch einen spezifischen Auslöser aktiviert wird [Eck02]. Ein Computervirus ist also kein selbstständig ablaufendes Programm. Häufig werden im Zusammenhang mit Computerviren auch so genannte Würmer und Trojaner erwähnt. Würmer unterscheiden sich gegenüber Viren darin, dass es sich bei ihnen um ein eigenständiges, ablauffähiges Programm handelt, also kein Wirtsprogramm zur Verbreitung benötigt wird. Ebenso handelt es sich bei Trojanern um eigenständige Programme, deren Ist-Funktionalität nicht genau mit ihrer angegebenen Soll-Funktionalität übereinstimmt, sondern um weitere Funktionen erweitert wurde. Sie werden also vom Benutzer ausgeführt, um eine bestimmte Funktion zu erfüllen. Diese Funktion wird auch gegebenenfalls erfüllt, aber es werden auch vom Benutzer nicht erwartete Funktion ausgeführt. 2.2 Aufbau eines Computervirus Die Befehlsfolge eines Computervirus kann in vielen Sprachen codiert werden. Neben der Maschinensprache, werden auch Kommandosprachen, Skriptsprachen oder auch Hochsprachen verwendet. Speicherbereiche potentieller VireninfektionensindderCodeausführbarer Programme, Bereiche des Betriebssystems, Sektoren eines Hintergrundspeichermediums oder auch Dateien, welche von Programmen mittels Skriptsprachen verarbeitet werden können. Der allgemeine Aufbau eines Virus ist in Abbildung 2.1 gezeigt. Ein Virus setzt sich im Allgemeinen aus vier Teilen zusammen, und zwar aus der Viruskennung, dem Infektionsteil, dem Schadensteil und dem Sprungteil. Außer dem Infektionsteil sind alle Teile optional und müssen nicht zwangsläufig in einem Virus enthalten sein. Der Infektionsteil dient dem Virus zur Reproduktion und kopiert den Virus in einen Speicherbereich. Falls es sich bei dem Speicherbereich um den in einer Datei gespeicherten

8 4 Allgemeines Code eines ausführbaren Programms handelt, so gleicht der Virus in der Regel die Strukturinformationen dieser Datei durch die Angabe der neuen Dateilänge sowie der Angabe einer neuen Einsprungadresse an. Als neue Einsprungadresse dient nun die Anfangsadresse des Viruscodes. Soll nach Verarbeitung des Viruscodes noch das ursprüngliche Programm ausgeführt werden, so enthält der Sprungteil des Virus eine Rücksprungadresse, welche die Einsprungadresse in das ursprüngliche Programm ist. Die Virenkennung dient dem Virus dazu in seiner Infektionsphase zu erkennen, ob die betreffende Datei schon von dem Virus befallen ist, um so wiederholtes Infizieren von Programmen zu verhindern. Allerdings ermöglicht es diese Virenkennung auch Virenscannern infizierte Programme zu finden. Der Schadensteil des Virus kann eine Bedingung enthalten, durch welche er aktiviert wird. Zum Beispiel kann der Schadensteil durch ein bestimmtes Datum oder eine Tastenkombination aktiviert werden. Dies ermöglicht es dem Virus sich unbemerkt zu verbreiten, bevor sich schadhafte Auswirkungen durch ihn zeigen. Viruskennung Infektionsteil Schadensteil Sprungteil PROCEDURE Virus; BEGIN 4711 suche eine nicht infizierte Programmdatei; IF (gesundes Programm gefunden) THEN kopiere Virus in das Programm; IF (Datum = Freitag der 13.) THEN formatiere Festplatte springe an den Anfang des Wirtsprogramms; END. Abbildung 2.1: Allgemeiner Aufbau eines Virus und Beispiel [Eck02] 2.3 Geschichte der Computerviren Die Geschichte des Computervirus lässt sich bis in die frühen 80er Jahre zurückverfolgen. Im Jahre 1980 verfasste Jürgen Krauss am Fachbereich Informatik der Universität Dortmund eine Diplomarbeit mit dem Thema:,,Selbstreproduktion von Programmen. Er wies in dieser Arbeit darauf hin, dass es möglich wäre Programme zu schreiben, welche sich ähnlich den biologischen Viren verhalten können und gab einfache Beispiele sich selbst reproduzierender Programme. Die Arbeit wurde allerdings nicht veröffentlicht und verschwand im Archiv der Universität [BSI97]. Der Amerikaner Fred Cohen veröffentlichte 1984 seine Arbeit mit dem Titel,,Computer Viruses - Theory and Experiments. Er ging dabei insbesondere auf die Gefahren ein, die Computerviren für Rechner darstellen können und erregte damit auch internationales Aufsehen. Mitte der 80er Jahre wurde aus der theoretischen Bedrohung eine praktische, als die ersten Computerviren auf

9 2.3 Geschichte der Computerviren 5 IBM-kompatiblen Personalcomputern erschienen. Der Legende nach war der erste Computervirus ein Boot-Virus und wurde von den Gebrüdern Amjad aus Pakistan, die einen Computer- Laden betrieben und von der Softwarepiraterie frustriert waren, geschrieben [Li03]. Die ersten Viren waren noch einfach aufgebaut und konnten anhand fester Zeichenfolgen entdeckt werden. Da aber die sogenannten Scan-Codes veröffentlicht wurden, dauerte es nicht lange bis die ersten Viren auftauchten, welche ihren Code verschlüsselten. Da der Code der Verschlüsselungsroutine bei jedem Virus gleich blieb und dieser nach kurzer Zeit bekannt war, war es allerdings dennoch möglich danach zu suchen. Die nächste Entwicklung der Computerviren waren Viren, welche Eigenschaften des Betriebssystems ausnutzten, um bestimme Systemaufrufe abzufangen und sich so zu tarnen. So war es diesen Viren zum Beispiel möglich dem Benutzer die alte Dateilänge oder original Sektoren der Festplatte anzuzeigen, welche der Virus an einen anderen Ort verschoben hatte tauchten dann die ersten polymorphen Computerviren auf. Diese Viren nutzten die Eigenschaft, dass Befehle in unterschiedlicher Reihenfolge aufgerufen das selbe Ergebnis liefern. Als anschauliches Beispiel kann hier die Addition von Zahlen genannt werden, bei der die Zahlen in unterschiedlicher Reihenfolge aufaddiert werden können, am Ende aber das selbe Ergebnis steht. Polymorphe Viren verwenden entweder verschiedene Befehle oder ordnen sie anders an, nachdem sie einen Speicherbereich infiziert haben. Wird dies geschickt genug gemacht, so ergeben sich die unterschiedlichsten Virencodes mit der selben Funktionalität, welche nur noch mittels einer algorithmischen Suche, die nach bestimmten Eigenschaften des Virus sucht, gefunden werden können. Es gibt auch Virenbaukästen, welche diesen Polymorphismus ausnutzten um aus einem vorhandenen Virus einen neuen,,mutierten Virus zu erstellen. Auf die neueste Virenart, die sogenannten Makro-Viren, wurde schon 1989 von Prof. Dr. Harold Joseph Highland hingewiesen [BSI97]. Es dauerte allerdings bis zum Jahre 1994 bis der erste Makro-Virus in einem WinWord Dokument mit dem Namen Troja.doc auftauchte. Dieser Virus verschob die Autoexec.bat Datei in ein neu angelegtes Verzeichnis und wies den Benutzer dann darauf hin, dass noch viel größerer Schaden hätte angerichtet werden können. Der Personenkreis der Virenprogrammierer reicht vom Schüler, der sich mit dem Freund einen Scherz erlauben will, über das verkannte Genie, das seine Programmierkünste unter Beweis stellen will, bis zum,,techno-terroristen, der möglichst viel Schaden in einem System anrichten will [Spa89, Li03].

10 6 Allgemeines

11 3 Virentypen Generation Die erste Generation der Computerviren trat in den 80er Jahren in Behörden, Firmen und Privathaushalten auf, da in dieser Zeit der Übergang von der Großrechenanlage zu einer dezentralen Anordnung isoliert betriebener PCs erfolgte. Jeder Benutzer übernahm die Systemadministration seines PCs und war berechtigt Software zu installieren. Die steigende Anzahl gemeinsam genutzter Programme, allen voran Spielesoftware und Shareware, ebnete so den Weg zur Virenverbreitung. Die erste Generation der Computerviren verbreitete sich in erster Linie über das Kopieren von Disketten und über die meist manuelle Installation von Programmen auf einzelnen PCs. Die am häufigsten auftretenden Viren dieser Generation sind die Programm- und Boot-Viren Programm-Viren Ein Programm-Virus (manchmal auch als Link-Virus bezeichnet) verbreitet sich durch den Aufruf eines Programms, welches vom Virus infiziert wurde, da beim Ausführen auch der Viruscode mit ausgeführt wird. In Abbildung 3.1 ist der Aufbau eines Programms vor und nach der Infektion dargestellt. Zur Verschleierung des Virus werden meist auch die Strukturdaten der infizierten Datei geändert Boot-Viren Boot-Viren (auch bekannt als Sektor-Viren) infizieren den Bereich einer Diskette oder Festplatte deren Daten beim Hochfahren des Rechners gelesen und in den Hauptspeicher geladen werden. Im Bootsektor ist das Ladeprogramm (Bootloader), welches das Betriebssystem in den Hauptspeicher lädt und ausführt, gespeichert. Boot-Viren werden meist vor das Bootsektorprogramm in den Speicher geschrieben und so beim Hochfahren des Systems zuerst ausgeführt und resident in den Hauptspeicher geladen. Resident heißt dabei, dass der Virus nach Beendigung des Wirtsprogramms nicht aus dem Speicher gelöscht werden, sondern während der Arbeitsphase des Systems im Hauptspeicher abgelegt bleiben. Abbildung 3.2 zeigt als Beispiel einen infizierten Bootsektor.

12 8 Virentypen Allgemeines Format Beispiel Programm Allgemeines Format Beispiel Programm Name der Datei Programm-X Name der Datei Programm-X Länge der Datei Neue Länge der Datei Einsprungadresse des Programms Programmcode vor der Infektion 4500 Load JSB 1 neue Einsprungadresse in den Virus Programmcode Viruscode: Kennung... Sprung Load JSB 1 JMP-... nach der Infektion Abbildung 3.1: Programm vor und nach der Infizierung [Eck02] Virus Code Bootprog. Lade Virus (resident) Virus Kennung... Lade Betriebsystem Lade Treiber Lade Konfigurationsdaten Generation Abbildung 3.2: Infizierter Bootsektor [Eck02] Durch die heutige Vernetzung von Systemen ist es schwierig eine Abschottung einzelner Rechner zu gewährleisten. Außerdem kann diese Abschottung zur Einschränkung der Nutzbarkeit der firmenweit vorhandenen Ressourcen führen und wird immer seltener als Lösung eingesetzt. Es gibt also eine Vielzahl von Kanälen, durch die fremde Codestücke auf den lokalen Rechner gelangen können. Als Beispiel seien dafür s, elektronische Dokumente oder Postscript Dateien genannt. Ebenso trägt die Verbesserung bzw. Automatisierung heutiger Softwarewerkzeuge zur Verbreitung von Viren bei. So werden Befehle, die in fremden Dokumenten eingebettet sind von z.b. Postscript-Interpretern, Textverarbeitungsprogrammen oder MIME-Interpretern (Multipurpose Internet Mail Extension) automatisch ausgeführt. So können sich Viren ohne vom Benutzer bemerkt zu werden weiterverbreiten. Die Vernetzung einzelner Systeme hat auch zur Veränderung der Funktionalität der Viren geführt. Sollte früher möglichst viel Schaden

13 Generation 9 angerichtet werden, so ist die neue Aufgabe der Viren einen Angriff von außerhalb vorzubereiten, indem sie sicherheitsrelevante Daten sammeln oder gezielt System- und Konfigurationsdateien verändern Makro-Viren Durch die zunehmende Anzahl von grafischen Benutzungsoberflächen steigt auch die Zahl der Dateien, die neben Daten auch Befehle einer Skriptsprache enthalten. Die Datei enthält also einen reinen Datenteil und einen ausführbaren Teil mit denen z.b. das Layout der Datei auf dem Bildschirm gesteuert werden kann. Zum Einsatz kommen dabei Codeabschnitte, die als Makros bezeichnet werden und häufig benutzte Steuerungsaufgaben festlegen, welche automatisch von einem Skriptsprachen-Interpreter ausgeführt werden. Das heißt es reicht nun schon ein lesender Zugriff durch den Benutzer, z.b. das Lesen einer , aus, um eine Virusverbreitung zu initialisieren. Dass allein durch den lesenden Zugriff Makro- Kommandos ausgeführt und das Starten eines Virus ermöglicht werden kann, ist dem Benutzer dabei nicht zwangsläufig ersichtlich. Die ersten Makro-Viren sind seit 1995 bekannt und traten größtenteils in Dateien der Programme WinWord und Excel auf. Makro-Viren sind nur abhängig vom jeweiligen Interpreter (WinWord, Excel), welcher wiederum plattformübergreifend verfügbar ist. Daher werden Makro-Viren auch als plattformunabhängig bezeichnet und stellen so eine weitere Verschärfung der Virenproblematik dar. Mittlerweile treten Makro-Viren auch in Postscript-Dateien und in anhängen via MIME (Multipurpose Internet Mail Extension) auf. MIME ist eine Erweiterung des SMTP-Protokolls und ermöglicht neben der Übertragung von ASCII-Dateien auch die von Grafiken, Sprache etc. Dabei liegt das Virenproblem darin, dass es bei zu langen MIME-Headern dazu kommen kann, dass beliebiger Programmcode auf dem Rechner, auf dem Sie Ihre lesen, ausgeführt wird. Eine weitere Form eines Makro-Virus stellen VBS-Dateien (Visual Basic Skript) dar. Der bekannteste Vertreter dieser Virusart ist wohl der ILoveYou Virus. Die Dateiendung von VBS-Dateien wird in der Voreinstellung von Windows ausgeblendet, so dass der Benutzer diese nicht unbedingt rechtzeitig erkennen kann. Eine Datei mit dem Namen sound.wav.vbs erscheint dem Benutzer so nur als sound.wav, also als ungefährlich. Wird die Datei, welche der Benutzer z.b. als anhang erhalten hat, ausgeführt, so wird die Skriptdatei verarbeitet und der Virus kann sich weiter verbreiten Retro-Viren Als Retro-Viren bezeichnet man, Viren welche sich direkt gegen das Abwehrsystem des Computers wenden, also gegen Virenscanner oder andere Schutzprogramme. Angriffsziel von Retro-Viren können z.b. die Konfigurationsdatei des Virenscanners sein, in welcher dann die Virenüberprüfung deaktiviert wird, oder

14 10 Virentypen es kann die Virendatenbank des Scanners verändert bzw. gelöscht werden, so dass der Scanner z.b. anstatt alle.exe Dateien alle exel Dateien nach Viren durchsucht. In Firewall-Systemen können bestimmte Ports freigeschaltet werden, um dann einen Zugriff von außerhalb des durch die Firewall geschützten Netzwerks zu ermöglichen Stand der Dinge Um einen Einblick in die am häufigsten auftretenden Viren zu geben ist in Abbildung 3.3 ein Diagramm angegeben [Sop05]. Top ten viruses reported to Sophos in January 2005 W32/Zafi-D 44.0% W32/Netsky-P 19.4% W32/Zafi-B 10.1% W32/Sober-I 6.3% W32/Netsky-D 3.2% W32/Netsky-Z 3.1% W32/Bagle-AA 2.1% W32/Netsky-B 1.9% W32/MyDoom-O 1.2% W32/Netsky-C 1.1% Others 7.6% Source: Sophos Plc Abbildung 3.3: Top-10-Viren Januar 2005 [Sop05] 3.3 Zukünftige Viren Stellt man sich die Frage über die nächste Generation von Computerviren, so kann man Rückschlüsse aus ihrer bisherigen Entwicklung schließen. Die Viren veränderten sich mit ihrer Umgebung. Die ersten Generation verbreitete sich noch über Disketten und war auf ein Betriebsystem beschränkt. In der zweiten Generation wurde die allgemeine Vernetzung der heutigen Computersysteme zur Verbreitung ausgenutzt und die zunehmende Automatisierung der Dateibearbeitung durch grafische Benutzeroberflächen und Skriptsprachen Interpreter ermöglichte den Viren eine plattformunabhängige Verbreitung. Es ist wahrscheinlich, dass sich

15 3.3 Zukünftige Viren 11 die nächste Generation von Computerviren wieder an der technischen Entwicklung orientiert, welche sich in die Kommunikation über Mobilfunk bei Handys und Palms, sowie deren Vernetzung mit bestehenden Computersystemen bewegt. Man kann schon heute drei mögliche Verbreitungswege im Mobilfunknetz unterscheiden: Auf Anwendungen basierende Viren Auf Inhalt basierende Viren Eine Mischung aus den beiden vorangegangenen Typen Neben diesen neuen Verbreitungswegen gibt es allerdings noch andere neue Möglichkeiten für Viren sich in Zukunft zu verbreiten. Diese Möglichkeiten werden im Anschluss besprochen [Li03]. Die neuen Plattformziele der Viren sind Handys und Palms, aber es besteht die Möglichkeit, dass sie sich auf andere Bereiche, wie z.b. die Motorsteuerung eines Autos ausbreiten können. Die von ihnen verursachten Schäden von der Überlastung des Telefonnetzes bis zur Spionage Auf Anwendungen basierende Viren Als auf Anwendungen basierenden Viren bezeichnet man Viren deren Code sich in bereits existierende Anwendungen der Mobilfunk-Komunikation versteckt. Hierbei sieht man die Parallelen zur ersten Generation von Computerviren, die auch ein Anwendungsprogramm benötigten um sich zu verbreiten. Die Verbreitung der auf Anwendungen basierenden Viren kann durch Herunterladen oder Empfang von Daten aus unbekannten Quellen erfolgen. Der erste bekannte Virus dieser Art wurde 2000 auf einem Palm PDA entdeckt und trägt dem Namen Palm Phage. Dieser Virus infiziert wie die ersten Computerviren andere Programme, welche wiederum beim Aufruf weitere Programme infizieren. Theoretisch kann sich der Virus so auch auf andere Geräte übertragen, falls der Palm an einen PC angeschlossen wird oder über Infrarotschnittstelle mit einem anderen Palm kommuniziert Auf Inhalt basierende Viren Bei auf Inhalt basierenden Viren ist, wie der Name schon andeutet, der Inhalt die Bedrohung. Da das Versenden von s in der Mobilfunkwelt eine der weit verbreitetsten Anwendungen ist, ist diese auch am anfälligsten für Viren. Die häufigsten auf Inhalt basierenden Viren treten daher in s oder Spam-Mails auf und sind damit den Makro-Viren ähnlich. Timofonica, der erste Virus dieser Art, wurde 2000 im Mobilfunknetzwerk von Madrid entdeckt. Bei Timofonica handelte es sich um ein Visual Basic Skript, welches infizierte s von infizierten Computern versendete. Erreichte eine infizierte einen PC, so wurde

16 12 Virentypen Outlook 98 bzw dazu benutzt, eine Kopie des Virus an alle Einträge des Adressbuches zu verschicken. Aber Timofonica war mehr als ein einfacher virus. Für jede verschickte wurde außerdem eine SMS-Nachricht zu einer zufällig erzeugten Adresse beim Internet Host correo.movistar.net geschickt. Da dieser Host SMS an Mobiltelefone, welche den europäischen GSM Standard benutzen, verschickt, versuchte der Virus Mobilfunknutzer mit SMS zu überfluten. Der Virus verbreitete sich mit hoher Geschwindigkeit und richtete vor allem bei Mobilfunknutzern, welche für jede empfangene Nachricht bezahlen mussten, zumindest einen finanziellen Schaden an. Ein ähnlicher Virus verschickte in Japan Mitteilungen an Nutzer von I-Mode Handys. I-Mode ist das japanische Gegenstück vom hier eher bekannten WAP 1. Klickte der Nutzer auf einen in der Mitteilung enthaltenen Hypertext Link, so wurde ohne das Wissen des Benutzers die Notrufnummer gewählt und so das Notrufnetz überlastet Gemischte Viren Diese dritte Art der neuen Viren ist bislang noch nicht in Erscheinung getreten, aber man kann sich vorstellen wie schnell sich ein Virus ausbreiten kann, welches sich zum einen durch herunterladen eines infizierten Sharewareprogramms und zum anderen über verbreitet. Gekoppelt mit dem entsprechend schädlichen Code, könnte so ein Virus ebenso großen Schaden anrichten wie der ILoveYou Virus Neue Möglichkeiten der Verbreitung Peer-to-peer Netzwerke ermöglichen die Kommunikation zweier Systeme, bei denen beide Systeme als gleichberechtigt angesehen werden, also sowohl Server als auch Client sind. In letzter Zeit haben diese Netzwerke durch Einführung von Datensammlungen mit Suchfunktion und dem so genannten File-Sharing an Bedeutung gewonnen. Diese Netzwerke stellen eine neue Möglichkeit der Verbreitung von Viren dar. Zum Beispiel kann ein Benutzer des Gnutella-Netzwerks eine Suchanfrage nach Beispielvirus stellen und erhält dann die Datei Beispielvirus.exe als Suchergebnis. Um nun von diesem Virus infiziert zu werden, muss die Datei immer noch heruntergeladen und ausgeführt werden. Allerdings erhalten Viren so eine Möglichkeit sich zu verbreiten. So ist es z.b. möglich, dass Viren versuchen sich in den Share-Ordner des Systems zu kopieren oder dort enthaltene Dateien 1 Die Abkürzung WAP steht für Wireless Application Protocolünd beschreibt eine Technologie, die den Anwendern von mobilen Telefonen den Zugriff auf Informationen aus dem Internet vereinfachen soll. WAP ist ein Übertragungsprotokoll, das für den Einsatz in GSM- Netzen und die limitierten grafischen Darstellungsfähigkeiten von Mobiltelefonen optimiert wurde.

17 3.3 Zukünftige Viren 13 zu infizieren. Zur schnelleren Verbreitung kann sich der Virus außerdem den Namen einer besonders beliebten Datei, also einer Datei nach der häufig Anfragen gestellt werden, zu geben.

18 14 Virentypen

19 4 Verschiedene Betriebssysteme Grundsätzlich können Computerviren auf allen Betriebssystemen auftreten. Die heutigen Makro-Viren sind ein kein Betriebssystem mehr gebunden, sondern nur noch an ihren jeweiligen Interpreter. In der Vergangenheit traten Viren allerdings vornehmlich unter dem Betriebssystem MS-DOS und kompatiblen auf. Dies lag daran, dass es die größte Verbreitung im professionellen und privaten Bereich hatte. Da das Windows NT/95/98/XP Betriebssystem auf MS-DOS aufgebaut wurde, sind viele der älteren, einfachen Viren noch lauffähig. Kompliziertere Viren, welche aufwendig programmierte Eingriffe in das Betriebssystem vornehmen funktionieren allerdings nicht mehr. Die meisten neuen Viren treten heutzutage auf Computern mit Windows Betriebssystem auf. Bei Computern der Firma Apple/Macintosch traten auf Grund ihrer vorwiegenden Verbreitung im professionellen Bereich weniger Viren auf. Ende des Jahres 1996 waren nur 35 Computerviren bekannt. Für das Betriebssystem LINUX sind auch nur wenige Viren bekannt. Allerdings besteht die Möglichkeit, dass sich falls auf einem Rechner LINUX und Windows installiert sind, durch das sogenannte,,mounten von Windows Verzeichnissen, Viren im LINUX Bereich des Rechners abzulegen. Diese Viren können jedoch meist keinen Schaden anrichten, da nur wenige alte MS-DOS Viren unter LINUX funktionsfähig sind.

20 16 Verschiedene Betriebssysteme

21 5 Schäden durch Viren Der Schaden, welcher durch Computer Viren entsteht, lässt sich allein in Deutschland jährlich in dreistelliger Millionenhöhe beziffern. Die verursachten Schäden lassen sich dabei in verschiedene Gruppen unterteilen [BSI97]. 5.1 Beabsichtigte Schadensfunktion Der mit geschätzten 5% geringste Teil der verursachten Schäden entsteht durch Viren, deren programmierter Schadensteil darauf ausgelegt ist möglichst viel Schaden auf Datenträgern, insbesondere Festplatten, durch Löschen, Überschreiben oder Formatieren anzurichten. 5.2 Unbeabsichtigte Schäden Viele der vermeintlich harmlosen Scherzviren, die den Benutzer, durch Ausgabe einer Meldung auf dem Bildschirm oder durch akustische Signale ärgern sollen, verursachen auf Grund von Programmierfehlern oder durch Änderungen im Betriebsystem häufig Datenverluste. Zum Beispiel verlagern viele Boot-Viren den originalen Boot-Sektor in den letzten Sektor des Hauptverzeichnisses von Disketten ohne vorher zu prüfen ob dieser schon Daten enthält. 5.3 Verbrauch von Speicherplatz Da jeder Virus Speicherplatz im Hauptspeicher oder auf Datenträgern verbraucht, verursachten alle Viren so indirekt Schäden. Der Computer wird langsamer, weil vom Computervirus viele Schreib- und Lesezugriffe kontrolliert werden, um sich weiter ausbreiten zu können. Dies ist in der heutigen Zeit mit Computern im Gigahertz jedoch kaum noch von Bedeutung. 5.4 Aufwand beim Suchen und Entfernen Der größte Schaden entsteht durch die Kosten, die beim Suchen und gegebenenfalls Entfernen von Viren entstehen. Computer können nicht genutzt werden,

22 18 Schäden durch Viren solange der Virus nicht entfernt wurde. Verseuchte Programme müssen erst wieder neu installiert oder sogar das ganze Betriebssystem ersetzt werden. Ebenso müssen gesicherte Datenbestände erst wieder auf den Computer übertragen werden. Alle diese zusätzlichen Arbeiten und ebenso die verlorene Arbeitszeit des Anwenders schlagen sich natürlich in Kosten nieder. 5.5 Kosten durch Prävention Ohne das ein Virus überhaupt ein System befallen hat, verursacht er schon Kosten dadurch, dass man versucht sich vor ihm zu schützen. So muss Anti-Virus Software gekauft und auf dem neuesten Stand gehalten werden, Mitarbeiter müssen geschult werden und zusätzliche Überprüfungen der Systeme in den Organisationsablauf eingebunden werden. 5.6 Panikreaktionen durch Benutzer Benutzer, welche erstmalig durch eine Anti-Virus Software mitgeteilt bekommen haben, dass ihr System infiziert ist, können durch unüberlegte panische Handlungen des öfteren größeren Schaden angerichten, als der Virus selbst es gekonnt hätte. So können von ihnen aus übertriebener Vorsicht z.b. Festplatten formatiert werden, ohne dass eine aktuelle Datensicherung vorhanden ist. 5.7 Hoaxes Hoaxes sind Warnungen vor angeblichen Viren, welche über verbreitet werden. Diese Warnungen werden meist von gutgläubigen Menschen verbreitet, welche diese selbst per erhalten haben. In diesen Warnungen werden die Empfänger dazu aufgefordert s, welche ein bestimmtes Wort oder eine bestimme Zeichenfolge in ihrer Betreffzeile enthalten, nicht zu öffnen sondern sofort zu Löschen. Anderenfalls werde ihr System von einem Virus befallen. So werden Benutzer verunsichert und Arbeitszeit gebunden. Gegebenenfalls gehen sogar wichtige s verloren, wenn ihre Betreffzeile das Kriterium der Warnung erfüllt und sie vom Benutzer gelöscht werden.

23 6 Gegenmaßnahmen Bei den Maßnahmen, welche zum Einsatz gegen Computerviren kommen, können in zwei Teile unterschieden werden. Zum einen die auf präventive Virenabwehr ausgerichteten Maßnahmen und zum anderen die aktiven Maßnahmen zur Erkennung eines Virenbefalls [BSI97]. 6.1 Präventive Maßnahmen Präventive Maßnahmen sollen dazu dienen, eine Infizierung durch Viren zu verhindern. Rechnerkonfiguration, eingeschränkte Schreibrechte, Datenverschlüsselung, Verwendung digitaler Fingerabdrücke, Impfung von Programmen sowie administrative Maßnahmen zur Abwehr von Makro-Viren fallen unter die Kategorie präventiver Maßnahmen. Im folgenden werden diese Punkte kurz erläutert Konfiguration Besonders gefährdet sind Rechner, welche über einen Internetanschluss verfügen und die von sehr vielen verschiedenen Benutzern verwendet werden. Diese Rechner sollten mit Überwachungswerkzeuge sowie Virenscannern ausgestattet sein. Desweiteren sollten die Ausführungs- und Zugriffsrechte der einzelnen Benutzer auf die von ihnen benötigten Programme beschränkt werden. Neue Programme sollten nur vom Administrator installiert werden dürfen und diese vorher eingehend geprüft werden. Eine regelmäßige Datensicherung ist außerdem sinnvoll Rechtebeschränkung Das Einschränken der Schreibrechte von Programmen stellt eine wirksame Abwehrmaßnahme gegen Programmviren dar. Das Modifizieren bestehender Programme wird dadurch erschwert und damit die Verbreitung von Viren eingeschränkt. Spielprogramme brauchen z.b. nur Schreibrechte auf von ihnen temporär angelegt Dateien, so dass Schreibrechte für das TMP-Verzeichnis für diese Programme genügen [Eck02].

24 20 Gegenmaßnahmen Datenverschlüsselung Durch die Verschlüsselung von Programmen kann verhindert werden, dass sich ein Virus gezielt in den Programmcode integriert. Sollte sich ein Virus dennoch in den verschlüsselten Code integrieren, so erhält man nach der Entschlüsselung nicht ausführbaren Programmcode. Durch das Überschreiben wird zwar die Programmdatei zerstört, aber eine weitere Verbreitung oder die Ausführung des Schadensteils des Virus wird verhindert [Eck02] Digitale Fingerabdrücke Als digitalen Fingerabdruck bezeichnet man einen Bitstring fester Länge, welcher ein Programm eindeutig beschreibt. Diese Fingerabdrücke sollten schreibgeschützt gespeichert werden, um vor der Ausführung eines Programms den aktuellen digitalen Fingerabdruck zu berechnen und ihn mit der gespeicherten Version zu vergleichen. Ist eine Veränderung des Programmcodes durch einen Virus aufgetreten, so wird sich der neu berechnete Fingerabdruck von der gespeicherten Version unterscheiden. Die Ausführung des Programms sollte dann gestoppt werden, um eine weiter Verbreitung des Virus zu verhindern. Die Infizierung kann also nicht verhindert werden. Es bietet sich daher an eine gesicherte Version des Programms auf einem Backup-Medium anzulegen und diese dann bei Bedarf wieder aufzuspielen Impfung Wie in Abschnitt 2.2 beschrieben, besitzt jeder Virus eine eigene Viruskennung, nach der er vor der Infizierung eines Programmes sucht. Diese Vorgehensweise kann ausgenutzt werden um Programme gegen spezifische Viren zu impfen, indem man die entsprechende Viruskennung in die Datei einträgt. Für diese Vorgehensweise schützt natürlich nur vor schon bekannten Viren und bei der heutigen Zahl der neu auftretenden Viren, greift diese Gegenmaßnahme kaum noch Maßnahmen gegen Makro-Viren Zur Abwehr von Makro-Viren gilt es zu verhindern, dass diese beim Lesen eines Dokumentes durch die zum Lesen verwendeten Werkzeuge (z.b. WinWord oder Postscript-Interpreter) automatisch ausgeführt werden. Daher sollte in einer Benutzerumgebung, welche keine automatisch ablaufenden Makros erfordert, die Ausführung von Makros unterbunden werden. Werden doch automatisch ablaufende Makros benötigt, so sollten Dateien bei denen der Verdacht auf einen Makro-Virus besteht in einer isolierten Ausführungsumgebung geöffnet werden. Die Kontrolle von s oder anderer empfangener Dokumente ist nicht immer

25 6.2 Anti-Viren-Werkzeuge 21 möglich, daher sollten sie unter Nutzung von Virenscannern geprüft und im Zweifelsfall ungelesen gelöscht oder in einer isolierten Ausführungsumgebung gelesen werden. Außerdem ist es unter Windows empfehlenswert, die Einstellung Dateiendungen bekannter Dateien ausblenden zu deaktivieren, um so VBS-Dateien, welche als andere Dateien getarnt sind zu erkennen. 6.2 Anti-Viren-Werkzeuge Anti-Viren-Werkzeuge sind Programme, die entweder im Hintergrund ablaufen und gegebenenfalls auf Virenaktivität hinweisen oder Dateien nach bekannten Viren durchsuchen Virenscanner Das am häufigsten eingesetze Werkzeug gegen Viren ist der Virenscanner. Ist er auf einem System installiert, so können durch ihn infizierte Dateien aufgespürt werden, da bekannte Viren eine Virenkennung oder spezifische Bytemuster bzw. Codesequenzen enthalten. Man unterscheidet hier zwischen On-Demand und On- Access Virenscannern. On-Demand bedeutet, dass der Scanner eine Aufforderung durch den Benutzer erwartet, bevor er mit der Virensuche beginnt. Meist wird jedoch die regelmäßige Suche aus Bequemlichkeit vernachlässigt. Sicherer sind die On-Access Virenscanner, welche ohne Benutzeraufforderung, automatisch eine Überprüfung der Datei vornehmen, bevor diese geöffnet bzw. ausgeführt wird. Neben den Virenscannern, die lokal auf einem System installiert sind, existieren auch Online Scanner, welche nicht installiert werden müssen, sondern mit Hilfe von ActiveX-Controls von einer Webseite das lokale System untersuchen. Diese Scanner verbrauchen wenig Ressourcen und werden vom Hersteller gepflegt. Allerdings können durch die Verwendung von ActiveX-Controls Sicherheitslücken auftreten. Virenscanner besitzen umfangreiche Datenbanken mit Virenkennungen, sowie Regeln, die unter anderem festlegen welche Dateien bzw. Dateitypen nach Viren untersucht werden sollen. Diese Datenbanken müssen regelmäßig aktualisiert werden, damit der Scanner auch weiter zuverlässig arbeiten kann. Bei der Zahl, der jede Woche neu auftretenden Viren, bietet ein Virenscanner mit zwei Monate alten Datenbanken keinen Schutz mehr. Das Aktualisieren der Datenbanken entfällt natürlich bei Online-Scannern, wo der Anbieter die Pflege der Datenbanken übernimmt. Bei dem Scanvorgang werden dann diese Dateien nach Virenkennungen und Bytemustern untersucht und im Anschluss die infizierten Dateien, sowie die gefundenen Viren angezeigt. Auf diese Weise können natürlich nur bekannte Viren gefunden werden, daher bleiben neue oder mutierende Viren unentdeckt. Um auch unbekannte Viren zu entdecken verwenden einige Virenscanner eine heuristische Suche, mit der in den Dateien nach verdächtigen Codesequenzen, die

26 22 Gegenmaßnahmen auf eine Virenaktivität hindeuten, gesucht wird. Gesucht werden z.b. Befehle, die dem Suchen nach neuen Dateien zur Infektion, dem Kopieren von Code in andere Dateien oder dem Löschen von ganzen Verzeichnissen entsprechen. Dabei bleibt aber zu beachten, dass die heuristische Suche auch Fehlalarme auslösen kann, wenn Programme den gesuchten Heuristiken entsprechen und nur ihre normale Aufgabe erfüllen. Wird eine infizierte Datei gefunden, so ist es unter Umständen möglich den Virus zu entfernen. Dabei muss gefordert werden, dass der durch die Infektion veränderte Bereich zu 100% wiederhergestellt wird. Eine Programmdatei muss also nach der Entfernung des Virus den gleichen Zustand haben wie vor der Infektion. Dies ist leider nicht immer möglich, weil viele Viren Teile des Originalprogramms überschreiben und die Teile damit verloren sind. Die Wiederherstellung einer infizierten Datei ist nur dann sinnvoll und kann durchgeführt werden, wenn eine genau Kenntnis des Virus vorliegt. Ohne diese Kenntnis riskiert man spätere Programmabstürze und Datenverluste. Im Allgemeinen hängen die Entfernungsmethoden eines Virenscanners von den Fähigkeiten des Herstellers ab, aber man muss sich im Klaren sein, dass auch ausgereifte Programme einen Fehler bei der Identifizierung eines Virus machen und ihn dann auf falsche Weise entfernen können [Eck02, BSI97] Aktivitätskontrolle Neben der Möglichkeit Viren mit einem Virenscanner aufzuspüren ist es außerdem möglich Werkzeuge einzusetzen, welche eine Aktivitätskontrolle laufender Programme durchführen. Dabei werden Programme während ihrer Ausführung überwacht und auf für Virenbefall typische Verhaltensweisen geprüft. Unter diese Verhaltensweisen fällt z.b. der wiederholte, modifizierende Zugriff auf ausführbare Dateien, das Suchen nach ausführbaren Dateien oder Versuche direkt auf externe Speichermedien zuzugreifen.

27 7 Zusammenfassung Die Bezeichnung Computervirus beschreibt eine Befehlsfolge welche zur Ausführung ein Wirtsprogramm benötigt und sich selbst reproduziert, in dem es andere Programme infiziert. Auf Grund der sich verändernden Systemumgebungen haben sich auch die Computerviren im Laufe der Zeit verändert und ihre Verbreitungsarten den heutigen Möglichkeiten angepasst. Mit der weiterschreitenden Entwicklung der Mobilfunknetze und deren Vernetzung mit Computersystemen ist zu erwarten, dass die nächste Generation von Viren neue Möglichkeiten zu ihrer Verbreitung findet. Um sich vor der Ausbreitung von Viren zu schützen stehen verschiedene Anti-Viren-Werkzeuge zur Verfügung, welche jedoch zum größten Teil nur gegen bekannte Viren effektiv sind. Neue Viren können zwar auch an Hand von Heuristen, welche die Verhaltensweisen von Viren kennen, erkannt werden, aber ein hundertprozentiger Schutz existiert nicht.

28 24 Zusammenfassung

29 Literaturverzeichnis [BSI97] BSI. Information zu Computerviren. Bundesamt für Sicherheit in der Informationstechnik, [Eck02] Claudia Eckert. IT-Sicherheit: Konzepte-Verfahren-Protokolle 2. Auflage. Oldenbourg, München Wien, [Li03] Xin Li. Computer Viruses: The Threat Today and The Expected Future. Master s Thesis, Universität Linköpings, [Sop05] Sophos [Spa89] Eugene H. Spafford. Computer Viruses as Artificial Life. Department of Computer Science, Purdue University, 1989.