Computer Viruses / Worms

Transkript

1 Computer Viruses / Worms Thomas Prevedel Mai 2007 Die vorliegende Arbeit beschäftigt sich mit der Malware-Technologie, welche sich in Viren, Würmer und Trojaner einteilen lässt. Es wird auf die Unterschiede dieser Klassifikationen eingegangen sowie deren Entwicklung im Laufe der Zeit anhand von Fallbeispielen näher erläutert. Weiters vermittelt diese Arbeit wie ein Virus aufgebaut ist und welche Technologien solche Schädlinge verwenden um sich möglichst schnell zu verbreiten und gegen Antiviren-Programme bestehen zu können. Zusätzlich wird auf die unterschiedlichen Virentypen sowie auf den technischenals auch wirtschaftlichen Schaden, der von Malware ausgeht, eingegangen. Die Schutzmöglichkeiten vor solch bösartiger Software befinden sich in einem eigenen Kapitel, in dem die Grundkonzepte der Antiviren-Programme behandelt werden. Abschließend befasst sich diese Arbeit mit der zukünftigen Entwicklung von Malware. e @student.tuwien.ac.at 1

2 Inhaltsverzeichnis 1 Einleitung 3 2 Was ist Malware? Virus Wurm Trojaner Geschichte und Entwicklung von Malware 5 4 Übergreifende Konzepte Struktur eines Virus Infektionsmechanismus Trigger Payload Replizierung Nicht-residente Viren Residente Viren Hybridviren Tarnmechanismen Stealth Polymorphismus Social Engineering Virentypen Bootviren Dateiviren Makroviren Schäden von Malware 15 7 Schutzmöglichkeiten 18 8 Ausblick 19 9 Zusammenfassung der Arbeit 19 2

3 1 Einleitung Malware verursacht jährlich einen finanziellen Aufwand im zweistelligen Milliarden- Bereich. Es liegt somit ein unglaublicher Markt dahinter, der sich mit Schutzmöglichkeiten und Präventionsmaßnahmen beschäftigt um sich vor solchen Computer-Attacken schützen zu können. Um hier mitreden zu können, muss in erster Linie verstanden werden, wie Malware prinzipiell funktioniert und welche Mechanismen hier zum Einsatz kommen. So gut wie jeder Betrieb arbeitet heutzutage mit computerisierten Systemen, sei es in der Erzeugung oder letztendlich nur in der Verwaltung. Tatsache ist, dass Datensicherheit ein wesentlicher Faktor in all diesen Bereichen ist. Niemand kann es sich leisten vertrauliche Firmendaten zu verlieren oder ausspioniert zu werden. In solch einem kritischen Gebiet sollte man ein gewisses Basis-Know-how besitzen, um in einem entsprechenden Fall auf niemanden angewiesen zu sein. Das Ziel dieser Arbeit ist es somit, die grundlegenden Konzepte, welche sich hinter der Malware-Technologie verbergen, verstehen können. 2 Was ist Malware? Malware ( malicious software ) ist der Oberbegriff für Schadprogramme. Schadprogramme sind Programme, die bewusst oder unbewusst auf Computersystemen laufen und Aktivitäten ausführen, die vom Besitzer des Systems nicht erwünscht sind. [Thomas Krauß, Viren, Würmer und Trojaner, S. 41] Malware bezeichnet jedoch keine fehlerhafte Software, auch wenn diese Schaden anrichten kann. Viren, Würmer und Trojaner fallen alle unter dem Begriff Malware und bilden die drei Hauptkategorien von Schädlingen. Da diese Begriffe jedoch des Öfteren vermischt werden, wird im Folgenden erklärt, worin genau der Unterschied zwischen einem Virus, Wurm und Trojaner liegt. 2.1 Virus Ein Virus ist ein Programm, das sich selbst repliziert. Dabei kopiert sich der Virus in fremde Dateien und modifiziert diese insofern, dass der Virus mit ausgeführt wird, wenn das befallene Programm gestartet wird. Es wird daher immer eine Wirtsdatei benötigt, in die sich der Virus einnisten kann. Einmal aktiviert können weitere Programme infiziert werden. Weiters kann sich ein Virus nicht selbstständig auf neue Systeme verbreiten. Dazu muss vom Anwender die infizierte Wirtsdatei auf das jeweilige System kopiert werden. Dies kann auf unterschiedliche Arten erfolgen, wie z.b. über Wechselmedien (CDs, USB- Sticks, etc.) aber auch über Rechnernetze via -Versandt, Tauschbörsen oder Downloads von Web- und FTP-Servern. 3

4 2.2 Wurm Würmer können sich wie Viren selbst replizieren. Allerdings benötigen sie zur Verbreitung keine Wirtsdatei. Des Weiteren unterscheiden sie sich durch den Infektionsweg - also den Weg, wie sie auf ein System gelangen. Dabei versucht ein Wurm aktiv seinen schadhaften Code auf fremde Computer zu übertragen und wartet nicht bis ein Anwender (unabsichtlich) dieses für ihn erledigt. Würmer breiten sich daher ausschließlich über Rechnernetze aus, indem sie Schwachstellen oder Designfehler von diversen Übertragungsdiensten ausnutzen. 2.3 Trojaner 2 Ein trojanisches Pferd ist ein Programm, dass der Anwender bewusst installiert, ohne dabei zu wissen, dass im Hintergrund eine schadhafte Routine ausgeführt wird. Grundsätzlich gibt es zwei Typen von Trojanern: Nutzprogramme, die neben ihrer normalen Funktion auch schadhafte Programmteile beinhalten. Programme, die den Benutzer im Glauben lassen, dass ihre Installation fehlgeschlagen sei, jedoch im Hintergrund das trojanische Pferd installiert haben. Trojaner beinhalten meist Spionagesoftware, mit welcher sich Passwörter, Benutzernamen und andere vertrauliche Daten aufzeichnen und versenden lassen. Im Gegensatz zu Viren und Würmern replizieren sich Trojaner jedoch nicht von selbst. 2 Obwohl der Begriff Trojaner als Abkürzung für Trojanisches Pferd schlecht gewählt ist, da schließlich die Trojaner selbst Opfer des trojanischen Pferdes waren, hat sich diese Bezeichnung praktisch überall etabliert. 4

5 Zusammenfassend kann Malware mit Hilfe der folgenden Abbildung klassifiziert werden: Abbildung 1: Flussdiagramm, zum bestimmen des Malwaretyps. (Quelle: microsoft.com) Mittlerweile existieren Schädlinge, die Eigenschaften von mehr als nur einer der drei traditionellen Malware-Kategorien besitzen. Diese Kombinationen oder Abarten können selbst von führenden Herstellern von Antiviren-Software nicht eindeutig zugeordnet werden. Aus diesem Grund spricht man in vielen Fällen schlicht und einfach nur mehr von Viren, auch wenn die klassische Definition nicht mehr vollständig zutreffend ist. 3 Geschichte und Entwicklung von Malware Da Viren illegal sind und in der Regel von anonymen Personen geschrieben werden, ist es schwierig zu sagen, wann genau die erste Art von Malware erzeugt wurde. Als Ursprung der Malware-Technologie kann ein in dem Jahr 1970 entwickeltes Spiel mit dem Namen Core-Wars betrachtet werden. In diesem Spiel wurde es ermöglicht, Programme zu schreiben, die sich innerhalb eines virtuellen Computers gegenseitig bekämpfen konnten. Das Ziel der Programme war nicht, sich fortzupflanzen und zu verbreiten, sondern zu überleben, also nicht von einem anderen Programm aus dem Datenspeicher gelöscht zu werden. Hier entstanden somit die ersten Taktiken von Cyber-Angriffen und Schutzmechanismen. 5

6 Generell traten die ersten richtigen Computerviren Anfang der 80er Jahre auf. Allerdings waren diese größtenteils von experimenteller Natur und führten zu keinen ernsthaften Schäden. Der erste nennenswerte Virus war der Elk Cloner, der sich über Apple-II Disketten verbreitete. Obwohl er nicht dazu gedacht war Schaden anzurichten, verursachte er verschiedene Probleme am Computer, wie z.b. Klickgeräusche oder die Inversion der Anzeige wurde von zwei pakistanischen Brüdern der Brain -Virus geschrieben - ein Bootvirus. Dies war der erste ernstzunehmende Schädling und zugleich auch einer, der am weitesten verbreitet war. Er infizierte keine Festplatten, sondern lediglich Disketten im 360 KB-Format, was zu einem kompletten Datenverlust auf dem Wechselmedium führte. Der erste Dateivirus hieß Virdem und konnte alle Daten von allen Medien im Computer löschen. Durch diese verheerenden Schäden erregte er ziemlich viel Aufmerksamkeit. Dies führte dazu, dass die ersten Newsgroups ins Leben gerufen wurden, die den nützlichen Austausch von Antiviren-Informationen ermöglichten traten die ersten echten Mac-Viren auf, u. a. der MacMag, der jedoch keine schädliche Schadroutine besaß. Durch das Aufkommen des Internets entstanden zu diesem Zeitpunkt auch die ersten Würmer. Der Christmas-Tree -Wurm konnte sich via Mailinglisten selbstständig verbreiten und legte das weltweite IBM-Netzwerk lahm, indem er ausschließlich deren Mainframes befiel. Der Wurm wendete dabei Social Engineering-Taktiken an, indem er sich an jede Person im vorhandenen Adressbuch automatisch schickte und sich somit als vertrauenswürdige Quelle ausgab. Der Jerusalem -Virus gilt als weiterer Meilenstein der Malware-Geschichte, obwohl er einen Bug enthielt. Der Virus infizierte nämlich die gleiche Datei immer wieder. Die Folge war ein rasanter Anstieg der Dateigröße einiger Programme, was zu seiner frühzeitigen Erkennung führte. Grund für seine Berühmtheit war sein Zielsuch- und Infektionsmechanismus, denn er war nicht wie seine Vorgänger darauf beschränkt nur einen bestimmten Typ von Dateien zu infizieren, sondern eine ganze Palette. Der Internet -Wurm (oder auch Morris -Wurm genannt) infizierte in kürzester Zeit mehrere tausend UNIX-basierte Systeme, was dazu führte, dass das Internet fast zum Stillstand geriet. Dies war der Zeitpunkt, wo der Begriff Computervirus in der Öffentlichkeit bekannt wurde, da auch die Medien von diesem Vorfall ausführlich berichteten tauchte mit AIDS das erste trojanische Pferd auf. Dabei wurde dem Benutzer 6

7 angeblich sein Aidsrisiko berechnet. Im Hintergrund wurden jedoch alle Daten auf der Festplatte verschlüsselt. Anschließend folgte die Aufforderung zur Zahlung einer Geldsumme, um die Daten wiederzuerlangen traten die ersten polymorphen Viren auf, welche eine viel komplexere Technologie als alle bisherigen Virentypen aufwiesen. Diese veränderten immer wieder ihr Erkennungsmuster, sodass sie deutlich schwieriger zu entdecken waren. Mit bis zu 1000 Bytes waren diese Schädlinge bis dahin auch die am Code intensivsten kam das erste Antiviren-Programm auf den Markt - Norton AntiVirus von Peter Norton. Doch erst durch Michelangelo wurden viele Menschen dazu ermuntert, ihre Systeme auf Viren zu überprüfen. Denn obwohl dieser Bootvirus eine regelrechte Epidemie auslöste, wurde er von den Medien viel zu sehr hochgepusht. Man spricht in diesem Fall auch von Medienvirus. Eine wichtige Subklasse von Viren sind die Makroviren, die 1995 das erste Mal die PC- Welt unsicher machten. Als das neue Win-Word-Format erstmals auch das Speichern von Makros direkt in Dokumenten und nicht wie zuvor in separaten Makro-Dateien erlaubte, wurde dieser Virentyp immer weiter verbreitet. Der erste Vertreter war Wm.Concept und ist innerhalb des Microsoft-Konzerns entstanden - als Ergebnis einer Reihe von Testvieren. Back Orifice war der erste Backdoor-Trojaner, der es ermöglichte, einen Computer über ein Netzwerk von einem anderen Computer aus zu steuern. Mittels eines solchen Remote Administration Tools gelang es einem Angreifer auf das interne Computernetzwerk von Microsoft im Jahr 2000 zuzugreifen. Der Chernobyl -Virus war der erste seiner Art, der auch Hardware unbrauchbar machen konnte, indem er das BIOS überschrieb und somit der PC nicht mehr bootfähig war. Man hört immer wieder, dass Viren auch Hardware zerstören können. Letztendlich meint man damit aber nur, wie z.b. in diesem Fall, dass die BIOS-Software, welche sich nicht wie normale Software auf der Festplatte befindet, sondern direkt in einem Chip auf dem Motherboard, unbrauchbar gemacht wird. Es ist somit immer nur die Firmware zerstörbar, jedoch nicht die Hardware. Melissa ist ein Virus mit Eigenschaften eines Wurms. Er zählt durch diese Dual- Funktion somit zu jener Art von Malware, die nicht eindeutig definiert ist und als Mischform gilt. Dieser Virus/Wurm verbreitete sich binnen wenigen Stunden weltweit und ist daher dem Morris -Wurm gleichzusetzen. Der Unterschied liegt darin, dass dieser Wurm nicht ohne dem Benutzer ausgeführt werden konnte. Häufig wird hier auch von Würmern der zweiten Generation gesprochen. 7

8 1999 gelang es dem ersten Skriptvirus BubbleBoy, allein durch das Lesen einer , einen Computer zu befallen. Dies gelang allerdings nur unter MS Outlook. Durch einige Patches wurde diese Sicherheitslücke von Microsoft jedoch wieder geschlossen. Ein typisch moderner Schädling ist der Loveletter - oder ILOVEYOU -Wurm, der im Jahr 2000 sein Unwesen trieb. Der Wurm wurde via versendet und hatte als Anhang ein VBScript-File, das als Textdatei mit dem Namen LOVE-LETTER-FOR- YOU.TXT.vbs getarnt war. Diese doppelten Datei-Erweiterungen führen oft dazu, dass der eigentliche Dateityp vom Benutzer übersehen wird konnte sich der Code Red -Wurm auf der ganzen Welt verbreiten, indem er eine Sicherheitslücke in Microsofts Webservern ausnutzte und einen Bufferoverflow erzeugte. Das besondere an diesem Wurm war die aggressive Verhaltensweise wie er neue Opfer suchte und befallen hat. Ist eine Maschine infiziert worden, durchsuchte diese ebenfalls das Netzwerk nach neuen Webservern, was zu einer exponential ansteigenden Zahl von Suchen führte. Seit diesem Zeitpunkt verlagerten sich die Taktiken der Wurm-Erzeuger immer mehr auf das Ausnutzen von Sicherheitslöchern und Softwareschwachstellen. Besonders Microsoft- Systeme waren/sind davon betroffen, wie die folgenden Würmer, u. a. SQL Slammer, W32.Blaster, Sasser und MyDoom zeigten. Letzterer hält derzeit auch den Rekord bzgl. Ausbreitungsgeschwindigkeit und Verbreitungsgrad. Ein weiterer Grund für die überaus schnelle Verbreitung ist die geringe Größe der Würmer. Der SQL- Slammer besteht aus nur einem einzigen UDP-Paket mit nur 376 Bytes. Weitere nennenswerte Entwicklungen: 2001 wurden P2P-Netzwerke und Instant Messaging Applikationen wie ICQ befallen gab es die ersten Handy-Würmer entstand der erste Virus für Windows Vista wurde von einer Forschergruppe der erste Wurm für RFID-Chips veröffentlicht. 8

9 Generell nahm die Zahl der Schadprogramme zu Beginn genauso schnell zu wie die Verbreitung der PCs. Waren bis 1999 vor allem Viren im Umlauf, werden diese nun immer mehr von Würmern abgelöst - aufgrund der schnelleren und effizienteren Verbreitung über Netzwerke. Viren werden jedoch weiterhin entwickelt und finden vor allem in neuen Nischen Anwendung. Abbildung 2: Verbreitung von Viren, Würmern und Trojaner. (Quelle: Thomas Krauß, Viren, Würmer und Trojaner, S. 11) Die folgende Abbildung zeigt die dem CERT (Computer Emergency Response Team) gemeldeten Internet-Vorfälle. Es ist deutlich zu erkennen, dass seit dem Zeitpunkt, als das Internet allgemein gut wurde, die Anzahl der Zwischenfälle exponentiell zunimmt. Diese Daten werden jedoch seit 2004 nicht mehr erhoben. Abbildung 3: Dem CERT gemeldeten Internet-Vorfälle. (Quelle: cert.org) Ausführlichere Informationen und detaillierte Beschreibungen bzgl. den bekanntesten Viren finden sich im Buch Das Anti-Viren-Buch von Harley, Slade und Gattiker. 9

10 Generell ist zu sagen, dass sich Viren im Laufe der Zeit sehr stark verändert haben, jedoch sind die grundlegenden Konzepte gleich geblieben. Unter dem Punkt Ausblick wird die weitere Entwicklung von Malware behandelt. 4 Übergreifende Konzepte 4.1 Struktur eines Virus Die Struktur eines Virus ist im Allgemeinen dreiteilig und umfasst Infektionsmechanismus, Trigger (Auslöser) und Payload (Schadroutine) Infektionsmechanismus Der Infektionsmechanismus ist der wichtigste Teil eines Virus, denn er beinhaltet den Code, mit dem sich der Schädling fortpflanzen und somit vermehren kann. Der erste Schritt ist das Suchen nach Objekten, die infiziert werden können. Dabei unterscheidet man zwischen aktiver Suche, bei der selbst Dateien nach bestimmten Kriterien (z. B. Größe, Format) gesucht werden, und passiver Suche, wo jede Datei infiziert wird, die vom Benutzer z. B. gespeichert oder geöffnet wird. Die meisten Viren überprüfen, ob ein gefundenes Objekt bereits infiziert wurde. Langsame Infektoren versuchen die Infektionsrate künstlich zu verlangsamen, um somit nicht Gefahr zu laufen, frühzeitig erkannt zu werden. Schnelle Infektoren befallen hingegen in möglichst kurzer Zeit so viele Objekte wie möglich. Der nächste Schritt beinhaltet das Kopieren des Virencodes in das gefundene Objekt. Hier gibt es je nach Virentyp unterschiedliche Varianten. Bei Dateiviren kann der schadhafte Code z. B. am Beginn der jeweiligen Programmdatei platziert werden, um sicher zu gehen, dass dieser auch ausgeführt wird. Wird der Original Code jedoch überschrieben, kann das zur Folge haben, dass das Wirtsprogramm nicht mehr funktionsfähig ist und somit auch der Virus schneller entdeckt werden kann. Aus diesem Grund wird der Code in den meisten Fällen angehängt und mittels Sprungbefehlen die Ausführungsreihenfolge geändert. Dabei wird beim Start des befallenen Programms sofort zum Virencode gesprungen, dieser abgearbeitet und nach Vollendung wieder zum eigentlichen Beginn des Programms zurück gesprungen. Um den Virus vor seiner Erkennung zu schützen, werden anschließend verschiedene Tarnmechanismen eingesetzt, die im Punkt 4.3 näher erläutert werden. 10

11 4.1.2 Trigger Der Trigger ist die zweite wichtige Komponente eines Virus und löst die Schadroutine aus. Je nach Programmierung kann dies ein bestimmter (Benutzer-)Vorgang, ein bestimmter Zeitpunkt oder auch das Erreichen einer zufällig initialisierten Abbruchs-Variable einer Schleifen-Bedingung sein. Anm.: Ein Virus muss nicht unbedingt einen Trigger oder Payload besitzen. Lediglich der Infektionsmechanismus reicht aus, um eine Software als Virus zu klassifizieren Payload Verfügt ein Virus über einen Trigger, so hat er in der Regel auch einen Payload, der in den meisten Fällen negative Auswirkungen für den Benutzer hat. Allerdings gab es bereits viele erfolgreiche Viren, die keinen nennenswerten Schaden angerichtet haben, sondern lediglich durch ihre massive Verbreitung populär wurden. Letztendlich kann ein Payload alles sein - angefangen von einer simplen Meldung, über die Formatierung der Festplatte, bis hin zum automatischen Selbst-Versenden via E- Mail. Generell kann man sagen, dass die Wahrscheinlichkeit, einen Virus zu erkennen, direkt proportional zur Größe des Payloads ist. 4.2 Replizierung Grundsätzlich gibt es drei Möglichkeiten einen Wirt zu befallen und sich somit zu replizieren Nicht-residente Viren Die einfachste Form der Replizierung bilden die nicht-residenten Viren. Diese pflanzen sich nur fort, wenn das befallene Programm ausgeführt wird. Nachdem der Virencode abgearbeitet wurde, übergibt der Virus die Steuerung wieder an das Wirtsprogramm zurück und führt bis zum nächsten Aufruf des Trägers keine weiteren Aktionen mehr aus Residente Viren Diese Schädlinge werden aktiv, sobald das befallene Programm ausgeführt wird und bleiben es auch, bis der Computer abgeschaltet ist, indem sie sich in den Arbeitsspeicher einnisten um somit das System jederzeit kontrollieren zu können. Dabei läuft das Schadprogramm meist unter einem eigenen Prozess und kann somit unabhängig agieren. Normalerweise versuchen solche Viren sich sofort in Start-Sequenzen einzutragen, um beim Hochfahren des Systems wieder mit ausgeführt zu werden. 11

12 4.2.3 Hybridviren Diese Art von Schädlingen bilden eine Mischform von residenten- und nicht-residenten Viren. Sie werden aktiviert, wenn das verseuchte Programm gestartet wird und geben die Steuerung nur teilweise an das Wirtsprogramm zurück. Wenn dieses beendet wird, wird auch der Virus inaktiv. Durch diese unterschiedlichen Ausbreitungsmethoden, sind sie schwerer aus dem System zu entfernen. 4.3 Tarnmechanismen In der Regel können sich Viren gegen ihre Bereinigung kaum wehren, wenn sie von einem Antiviren-Programm erfasst wurden. Dies gilt auch für die meisten Würmer. Deshalb ist es wichtig unterkannt zu operieren. Im Folgenden wird auf die wichtigsten Tarnmechanismen eingegangen Stealth Wenn Dateien infiziert und somit geändert werden, hinterlässt das Spuren. Ein Virus kann somit durch seinen eigenen Code identifiziert werden. Selbst wenn der Virus den Code des Wirtprogramms überschreibt und dafür sorgt, dass die Checksumme für den überschriebenen Codeabschnitt unverändert bleibt, kann dieser erkannt werden. Man unterscheidet zwischen den folgenden Stealth-Mechanismen: Stufe -1 - Negativ Hierbei handelt es sich um überschreibende Viren (also jene, die den Code der befallenen Datei teilweise löschen um Platz für den schadhaften Code zu machen). Eine solche Klassifizierung trifft zu, wenn die Wirtsdatei nach der Infektion nicht mehr funktionsfähig ist. Eine Erkennung ist somit leicht feststellbar. Stufe 0 - Non-Stealth In diesem Fall ist die Wirtsdatei noch funktionsfähig, allerdings wurden keine bestimmten Maßnahmen getroffen, die das Erkennen des Virus verhindern könnten. Stufe 1 - Einfach Diese Klassifikation umfasst simple Stealth-Mechanismen die von Viren-Erzeuger eingesetzt werden, wie z. B. das Zurücksetzen des Änderungszeitpunkts oder der ursprünglichen Größe der befallenen Datei. Allerdings muss ein Virus nicht unbedingt in der Verzeichnisliste aufscheinen, was solche Vertuschungs-Aktionen überflüssig macht. Stufe 2 - Mittel Viren dieser Stufe bewahren ein Image der noch nicht infizierten Wirtsdatei auf. Jedes Mal, wenn das System Informationen anfordert, wird das Image anstelle des befallenen Objekts angezeigt. 12

13 Stufe 3 - Fortgeschritten Solche Viren verwenden Mechanismen um sich von Antiviren-Programmen gezielt zu verstecken. Unter dieser Kategorie fallen die polymorphen Viren, welche im nächsten Punkt behandelt werden Polymorphismus Wie schon erwähnt hat jeder Virus eine eigene Signatur, die sich Antiviren-Programme zu Nutze machen um Schädlinge zu erkennen. Der Grundgedanke von polymorphen Viren ist der, dass bei jeder Infektion die Signatur des Virus geändert wird und somit zur Mustererkennung nicht herangezogen werden kann. Dabei wird der Code des Virus nach einem bestimmten Muster verschlüsselt und erst wieder zum Zeitpunkt der Aktivierung entschlüsselt. Anfangs konnten Viren ihre Signatur nur bis zu einer begrenzten Anzahl ändern, ehe sie wieder die ursprüngliche Form annahmen. Mit dem Aufkommen der polymorphen Viren ist es möglich, dass die Verschlüsselung nahezu unendliche viele Ergebnisse liefert. Der Virus Tremor konnte beispielsweise 6 Milliarden unterschiedliche Formen annehmen. Mit der Entwicklung der polymorphen Engine kann jeder beliebige Virus polymorph gemacht werden. Da allerdings immer ein kleines Stück Code übrig bleiben muss, um den verschlüsselten Teil wieder zu entschlüsseln, haben sich Antiviren-Programme nach einiger Zeit auf solche Tarnmechanismen eingestellt Social Engineering Unter Social Engineering versteht man keinen technischen Aspekt der Virus-Programmierung, sondern lediglich, wie Information aufbereitet wird, damit der Benutzer bei Empfang einer schadhaften Nachricht nicht misstrauisch wird. Durch gezielte Täuschung soll der User dazu verleitet werden, selbst den Virus zu starten. So gesehen basiert jeder Trojaner auf diesem Konzept. Als ein Beispiel für Social Engineering kann der Loveletter -Wurm betrachtet werden, der dem Benutzer weiß machen wollte, dass sich unter dem Anhang LOVE-LETTER- FOR-YOU.TXT.vbs eine harmlose Textdatei befindet. Aber auch das automatische Versenden von s an vorhandene Adressen fällt unter diese Kategorie, da typische Internetuser davon ausgehen, dass sie keine schadhafte Software von Freunden erhalten. Viren/Würmer der ersten Generation sind nicht auf Social Engineering angewiesen, da sie ihre schadhafte Routine auch ohne Benutzerinteraktion ausführen können. 13

14 5 Virentypen 5.1 Bootviren Jede Festplatte hat einen Master Boot Record (MBR), der sich im Bootsektor befindet. Wenn ein Rechner gebootet wird, führt das BIOS die Software welche sich im Bootsektor befindet aus. Diese verweist auf Systemdateien, um das Betriebssystem zu starten. Bootviren können sich durch ein infiziertes bootfähiges Speichermedium (üblicherweise eine CD) in diesen Bootsektor übertragen um somit noch vor dem Betriebssystem gestartet zu werden. Dabei verschiebt der Virus den originalen Bootblock an eine andere Stelle und überschreibt den Bootsektor mit dem Virencode. Beim Bootvorgang wir somit nach dem BIOS zuerst der schadhafte Code ausgeführt, der sich in den Arbeitsspeicher installiert und erst danach die Steuerung wieder an den originalen Bootblock zurückgibt, der das Betriebssystem lädt. Somit kann die Kontrolle über einen PC erlangt werden, bevor die meisten Schutzmechanismen aktiv sind. Bootviren unterliegen bestimmten Größenbestimmungen, da ein (Boot-)Sektor nur 512KB fasst und bereits Software für die BIOS-Kompatibilität enthält. Weiters zählen sie zu den ältesten Viren; heutzutage sind sie jedoch nicht mehr weit verbreitet. 5.2 Dateiviren Dieser Virentyp bildet die größte Gruppe der Virenfamilie und infiziert ausführbare Dateien (wie z. B. EXE-, BAT- oder COM-Files). Sie verbreiten sich, indem sie ihren Code an bestehende Dateien anhängen. (siehe Punkt Infektionsmechanismus) Während Bootviren speicherresistent sein müssen, da sie permanent im System vorhanden sind, haben Autoren von Dateiviren mehr Freiheiten in Bezug auf die Replizierung (siehe Punkt Replizierung). 5.3 Makroviren Anstatt ausführbare Dateien zu infizieren, befallen Makroviren Datendateien, welche Makros beinhalten können. Makros sind kleine benutzerdefinierte Programme, die zur Automatisierung von Routineaufgaben (vorwiegend in Office-Anwendungen) dienen. Dieser Virentyp ist anwendungsspezifisch und somit nicht auf eine einzelne Hardwarearchitektur oder ein einzelnes Betriebssystem beschränkt. Makroviren nisten sich häufig in das Autostart-Makro eines Dokuments ein, da hier die größte Aufrufwahrscheinlichkeit besteht. Wie im Punkt 3 (Geschichte und Entwicklung von Malware) bereits erwähnt, wurden Makros früher in separaten Dateien gespeichert. Erst ab 1995 war es möglich, diese direkt im Dokument abzulegen, womit diese Virengattung ihren Ursprung fand. 14

15 Makroviren waren somit vor allem Mitte der 90er Jahre weit verbreitet. Weiters spricht man noch von sogenannten Skriptviren, deren Konzept relativ gleich zu Makroviren ist. Interpreter-Viren bilden generell die Übergruppe zu diesen zwei Virentypen, da diese nicht durch einen Compiler in Maschinensprache übersetzt werden, sondern ein Interpreter für deren Ausführung sorgt. Nicht immer kann ein Virus einem bestimmten Virentyp zugeordnet werden, da manche auch mehrere der oben genannten Eigenschaften besitzen können. In solchen Fällen spricht man auch von Mischviren. 6 Schäden von Malware Malware kann jede Art von Schaden verursachen, die eine Software verursachen kann. Um ein paar typische zu nennen: Löschen und Modifizieren von Daten, Diebstahl von Passwörtern und Zugangsdaten, Fernsteuerung und komplette Übernahme des Rechners, usw. Die Liste könnte praktisch endlos weiter gehen. Nicht nur der Payload selbst stellt einen Schaden für die betroffenen Systeme/Personen da. Durch die hohe, häufig exponentiell steigende, Ausbreitungsrate, die manche Würmer besitzen, werden Unmengen von Ressourcen verzehrt, die nicht selten zu einem Denial of Service (DoS) führen. Erfolgt solch eine Verbreitung koordiniert (was dann auch als Payload betrachtet werden kann), spricht man von einer Distributed DoS-Attacke (DDoS). Hier wird versucht, möglichst viele Computer im Internet zu infizieren um von diesen Geräten aus, gezielt bestimmte Server mit Anfragen zu überlasten, sodass diese keine Dienste mehr ausführen können. Die Rückverfolgung ist in den meisten Fällen sehr schwierig bis unmöglich, da beliebig viele Zwischenstationen verwendet werden können. 15

16 Der Code Red -Wurm ist ein typisches Beispiel dafür. Er konnte sich im Jahr 2001 auf der ganzen Welt verbreiten und versuchte anschließend eine DDoS-Attacke auf whitehouse.org, die jedoch nicht erfolgreich ausfiel. Abbildung 4: Die aktivsten Stunden der Ausbreitung des Code Red -Wurms - binnen 24 Stunden wurden ca Computer infiziert. (Quelle: UC Regents) Es wird oft vermutet, dass der schlimmste Payload das Formatieren der Festplatte ist. Heutzutage kann dies als relativ harmlos eingestuft werden, da von wichtigen Daten immer öfters Sicherungskopien erstellt werden. Außerdem würde sich der Virus damit auch selbst auslöschen und somit nicht mehr neue Systeme infizieren können. Viel folgenschwerer sind daher Schädlinge, die auf längere Zeit unbemerkt Daten verfälschen und somit einen weitaus höheren wirtschaftlichen Schaden verursachen können. Als konkretes Beispiel kann der Makrovirus XM/Compat betrachtet werden, der 1998 gravierende finanzielle Schäden verursachte. Jedes Mal, wenn Excel beendet wurde, suchte sich der Virus in der Bearbeitungs-History ein zufälliges Dokument mit ungeschützten Zellen welche numerische Werte beinhalteten. Manche Werte dieser Zellen wurden ausgewählt und zufällig um plus/minus 5% geändert. Durch diese zunächst geringfügigen Modifikationen wurde der Virus in vielen Fällen nicht erkannt und führte noch mehrere Wochen oder gar Monate sein Unwesen. Weiters ist das Einspielen eines Backups nur dann sinnvoll, wenn bekannt ist, ab wann der Virus Daten verändert hat. Der Schädling konnte sich glücklicherweise nicht sehr weit ausbreiten, jedoch wurden einige Geschäftsbilanzen von Unternehmen völlig unbrauchbar. Wie bereits erwähnt kann Malware keinen direkten Hardware-Schaden verursachen, son- 16

17 dern lediglich die Firmware zerstören, was zur Folge hat, dass das Gerät unbrauchbar ist. In diesem Fall hilft nur der Austausch des Flash-Bausteins. Der Chernobyl -Virus beispielsweise, konnte im Jahr 1999 allein in Südkorea den Dateninhalt von über 3000 BIOS-Chips zerstören. Die folgende Abbildung zeigt den weltweit verursachten finanziellen Aufwand, der durch Malware in den Jahren von 1995 bis 2005 entstanden ist. Der tatsächlich entstandene Schaden ist noch um einiges höher. Abbildung 5: Finanzieller Aufwand durch Malware (Quelle: computereconomics.com) Die verheerenden Auswirkungen des Loveletter -Wurms im Jahr 2000 sind deutlich zu erkennen. Der hauptverantwortliche Schädling für 2004 war der MyDoom -Wurm. Jedes System hat Schwachstellen und kann durch gezielten schadhaften Code in die Knie gezwungen werden. Daher existieren Viren für alle gängigen Betriebssysteme. Die Häufigkeit eines Befalls hängt jedoch nicht direkt vom Design oder der Sicherheit des Betriebssystems ab, sonder vielmehr davon, wie weit es verbreitet ist. Malware-Erzeuger spezialisieren sich daher auf Wintel (Windows auf einem PC mit Inteloder kompatiblen Prozessor), da sie hier den größtmöglichen Schaden anrichten können. Aus diesem Grund stehen Windows-Rechner ganz oben auf der Liste der von Viren betroffenen Plattformen. 17

18 7 Schutzmöglichkeiten Da Schutzmöglichkeiten vor Malware ein eigenes Thema umfassen, sollen hier nur die Grundkonzepte vermittelt werden. Viren, Würmer und Trojaner können auf unterschiedliche Art und Weise erkannt werden. Ein Virenscanner analysiert die Dateien auf dem System anhand von Virenmuster. Solche Virenmuster sind typische Code-Sequenzen, die einen Virus in der Regel eindeutig identifizieren können. Das Problem von Virenscannern ist jedoch, dass diese Muster regelmäßig aktualisiert werden müssen, um neue Schädlinge erkennen zu können. Je größer diese Update-Zyklen sind, desto höher ist das Risiko einer Infektion. Ein Modification-Monitor speichert alle ausführbaren Dateien eines Systems zusammen mit der jeweils errechneten Prüfsumme. Ändert sich z. B. die Größe oder nur der Inhalt einer solchen Datei - wie es bei einem Virenbefall in der Regel der Fall ist - entsteht auch, je nach Algorithmus, eine andere Prüfsumme. Durch geeignete Überprüfungsintervalle kann ein Modification-Monitor so feststellen, welche Datei möglicherweise von einem Virus infiziert wurde. Activity-Monitors überprüfen generell die Systemaktivität um typische Malware-Verhaltensmuster bereits im Vorhinein erkennen zu können. Dazu zählen neben dem Beschreiben von Dateien auch das Ändern der Registry, das Öffnen von Internet-Verbindungen auf unüblichen Ports, und dergleichen Aktivitäten. Zusammen können diese Methoden die gängigsten Stealth-Techniken erkennen. Sie haben jedoch alle den Nachteil, dass sie nur funktionieren, wenn der Schädling bereits auf dem System vorhanden ist. Man spricht hier auch von reaktiven Maßnahmen. Proaktive Maßnahmen hingegen, blockieren bereits den Versuch eines Eintritts in das System und werden durch Soft- und Hardware-Firewalls realisiert. Häufig ist es eine Frage der Konfiguration der jeweiligen Antiviren-Programme und Firewalls, wie schwer es einem Virus gemacht werden soll. Mehr Komfort bedeutet natürlich einen höheren Grad an Risiko, wobei das Erfassen von jedem/jeder verdächtigen Code/Aktivität natürlich kein vernünftiges Arbeiten mehr ermöglicht. Wenn eine nicht infizierte Datei oder normale Aktivität als infiziert bzw. bedrohlich gemeldet wird, spricht man auch von einem false-positive-fehler. Das Nicht-Erkennen von einer infizierten Datei bzw. schadhaften Aktivität wird als false-negative-fehler bezeichnet. 18

19 8 Ausblick Wie die Zukunft von Malware aussehen wird, ist schwierig vorherzusagen. Auf jeden Fall kann mit einer Entspannung nicht gerechnet werden. Es existieren zwar erste Schädlinge für Mobiltelefone die sich via Bluetooth und MMS übertragen können - die Gefahr ist jedoch gering, dass sich diese in epidemischer Weise ausbreiten werden. Grund dafür ist die Vielfalt der Gerätemerkmale wie Betriebssystemversionen und Firmware. Aus diesem Grund wird auch kaum Malware in diesem Bereich geschrieben. Lediglich Smartphones (eine Mischung aus PDA und Handy) mit dem Betriebssystem Symbian OS sind von der Virenwarnung betroffen. Da diese allerdings weltweit nur 1% der Mobiltelefone ausmachen und es auch hier bereits Schutzmechanismen gibt, hält sich die Gefahr in Grenzen. Je mehr solcher Geräte allerdings in Umlauf kommen, desto höher ist das Risiko, dass Malware-Erzeuger in diesem Bereich ans Werk gehen. Eine größere Gefahr geht vermutlich von StarOffice- und OpenOffice-Makrovieren aus, da mehr und mehr Benutzer das Microsoft Office Paket ablehnen. Resultierend daraus wird auch mehr Malware in diesem Sektor geschrieben. 9 Zusammenfassung der Arbeit Malware sind schadhafte Programme, die als Viren, Würmer oder Trojaner klassifiziert werden. Viren können sich selbst replizieren, jedoch nicht eigenständig auf neue Systeme verbreiten. Würmer verbreiten sich hingegen aktiv über Netzwerkverbindungen; zur Replizierung wird außerdem keine Wirtsdatei benötigt. Trojaner sind Programme, die neben ihrer Tätigkeit, für die sie bewusst gestartet werden, andere, verborgene Aktivitäten durchführen. Konkrete Schädlinge gibt es seit den 80er Jahren. Seit dem hat sich die Komplexität der Mechanismen laufend erhöht; die grundlegenden Konzepte sind jedoch gleich geblieben. Mit dem Aufkommen des Internets haben Trojaner, vor allem aber Würmer, den klassischen Virus fast völlig verdrängt - die Anzahl der Malware-Attacken ist zudem exponentiell gestiegen. Die Struktur eines Virus besteht aus dem Infektionsmechanismus, welcher für die Replizierung zuständig ist, dem Trigger, der bestimmt, wann die Schadroutine ausgeführt wird, und dem Payload, der den eigentlichen schaden-verursachenden Code beinhaltet. Da sich Viren gegen ihre Bereinigung kaum schützen können, versuchen sie mittels Tarnmechanismen von Antiviren-Programmen unterkannt zu bleiben. Dabei bildet die Stealth-Stufe 3 den höchsten Schutz, indem u. a. Polymorphismus eingesetzt wird, welches es dem Virus ermöglicht, seine Signatur nahezu beliebig oft zu ändern um von Scann-Programmen nicht entdeckt zu werden. 19

20 Viren können häufig einem bestimmten Typ eindeutig zugeordnet werden: Bootviren, die den Bootsektor infizieren, Dateiviren, welche ausführbare Dateien befallen, und Makroviren, die sich in Datendateien einnisten. Datenverlust, -modifikation und Denial-of-Services sind die typischen Schäden, die Malware anrichten kann. Der dadurch entstehende finanzielle Aufwand liegt jährlich im zweistelligen Milliarden-Bereich - Tendenz steigend. Obwohl umfangreiche Schutzmöglichkeiten vorhanden sind, gelingt es Viren-Erzeuger immer wieder Schwachstellen in Systemen zu finden; häufig werden auch Social Engineering-Taktiken angewendet. Die zukünftige Entwicklung von Malware ist schwer vorhersehbar; mit einer Entspannung kann auf jeden Fall nicht gerechnet werden. Literatur [1] David Harley, Robert Slade, Urs E. Gattiker, Das Anti-Viren-Buch, 1. Auflage 2002, mitp Verlag [2] Herbert Klaeren, Viren, Würmer und Trojaner, 1. Auflage 2006, Klöpfer & Meyer Verlag [3] Thomas Krauß, Viren, Würmer und Trojaner, 1. Auflage 2004, Interest Verlag [4] Alexander Thor, Feind hört mit, 1. Auflage 2004, Rhombos Verlag [5] Computer Economics, [6] Microsoft, mspx [7] Netzwelt, html [8] ProMus, [9] Symantec, docid/ [10] tecchannel, [11] Universität Hamburg, pcvir_dt.htm [12] Universität Konstanz, [13] Wikipedia Homepage, 20