Zum Inhalt springen

Multimedia im Überblick/ Ergänzung/ Computer-Schädlinge

Aus Wikibooks


Viren

[Bearbeiten]

Computerviren Allgemein

[Bearbeiten]

Computerviren sind absichtlich erzeugte kleine Programme, die sich selbstständig kopieren und somit verbreiten. Diese Reproduzierung und die Notwenigkeit eines Wirtsprogramms unterscheiden die Computerviren von anderen Störprogrammen wie z.B. Trojanischen Pferden, Würmern und anderen. Das Wirtsprogramm wird z.B. durch Anhängen oder Überschreiben infiziert und in erster Linie als Transportmittel für die Computerviren verwendet.
Die Computerviren haben in der Regel eine Infektions-, eine Kopier- und eine Statusroutine. Die in der Infektionsroutine enthaltene Schadensroutine wird durch das Eintreten eines bestimmten Ereignisses ausgelöst. In der Folge können lästige Meldungen, Systemabstürze, Verlust oder Manipulation von Daten, aber auch das Formatieren der Festplatte oder Hardwarebeschädigungen auftreten. Durch die Art der Schadenroutine kann man zwischen „gutartigen“ und „bösartigen“ Viren unterscheiden. Kurz gesagt ist ein Computervirus ein extra entwickeltes Programm, das den Computer ohne Wissen und Erlaubnis des Anwenders beeinflusst, manipuliert und sich dabei vervielfältigt.
Die "Anfälligkeit" gegenüber Viren ist vom Betriebssystem abhängig. Für Microsoft Windows existieren weit über 60.000 Viren. Bei Mac OS, Unix und Linux gibt es gerade einmal knapp über 100 verschiedene Viren.

Geschichtliche Entwicklung

[Bearbeiten]
  • 1949: John von Neumann entwickelte die Idee selbstreproduzierender Programme. Er benützt jedoch den Begriff "Computervirus" noch nicht.
  • 1981: Der Begriff des "Computervirus" entstand in einem Gespräch zwischen Prof. Len Adleman (Universität Süd-Kalifornien) und seinem Doktoranden Frederick Cohen. Fredeick Cohen war es auch, der im selben Jahr den ersten funktionierenden Computervirus schrieb. Er beschäftigte sich auch in seinen Dissertationen mit der Implementierung von Computerviren.
    Daraufhin brach ein sogenannter "Virenboom" aus. In Fachzeitschriften wurden sogar Programmieranleitungen für Viren veröffentlicht.
  • 1986: Der aus Pakistan stammende erste bösartige Computervirus „Brain“ richtet in den USA nennenswerten Schaden an. Dieser Virus war ein sogenannter „Bootvirus“
  • 1987: Gleich zwei berühmte Viren erblicken das Licht der Welt:
    „Jerusalem“ taucht erstmals in Israel auf und gilt als erster Virus, der sich im Arbeitsspeicher des Computer festsetzen konnte.
    Einen Monat später entwickelten Studenten an der University of Wellington in Neuseeland den berühmten „Stoned“-Virus, der Disketten befiel.
    Im selben Jahr wurde auch der erste Viren-Scanner von McAfee auf den Markt gebracht. Dieser konnte bereits ganze 19 Viren erkennen.
  • 1988: Der erste „Internet-Wurm“ sorgte für Unruhe:
    Rund 6.000 Computer wurden in Mitleidenschaft gezogen. Diese Zahl dürfte für heuitige Verhältnisse lächerlich erscheinen. Tatsache ist jedoch, dass dies damals rund 10% des gesamten Internets waren.
  • 1991: Es erschienen die ersten „Virus-Sets“, mit denen jeder Laie im Baukastenprinzip eigene Computerviren schaffen konnte.
  • 1994: „Kaos5“ tauchte in Diskussionsforen des Internet auf und war damit der erste Virus, der sich über das Internet verbreitete.
  • 1995: „Concept“ war der erste Makro-Virus.
    Damit verbreiten sich Computerviren erstmals nicht über .EXE- oder .COM-Dateien, sondern über ausführbare Skripte in Dokumenten.
  • 1997: Zum ersten Mal verbreiteten sich Computerviren über Chat-Räume im Internet.
  • 1998: Erste Viren, die die Hardware beschädigen konnten wurden bekannt. Dies liegt daran, dass ettliche Anwendungen und Prozesse gleichzeitig aufgerufen wurden und es somit zur Überhitzung einzelner Hardwarekomponenten kam, was in weiterer Folge zu deren Beschädigung führte.
    Weiters zirkulierten Java-Viren, die ihr Unwesen auf verschiedenen Rechnerplattformen anrichteten.

Verbreitung von Viren

[Bearbeiten]

Immer wenn man fremde Daten auf seinen Computer kopiert oder abspeichert, ist die Gefahr eines Computervirus vorhanden. Auf jeder Wechselfestplatte, Diskette oder CD können sich Viren befinden. Sogar auf Original-CDs von renommierten Softwareherstellern wurden bereits Viren entdeckt.
Da Disketten langsam aber sicher aussterben, hat schon lange das E-Mail – und damit das Internet – die Position der Hauptvirenquelle übernommen.
In großen Firmen- oder Schulnetzwerken können sich Viren ebenfalls sehr schnell verbreiten. Wenn die Sicherheitsvorkehrungen nicht groß genug sind, ist innerhalb weniger Minuten das gesamte Netzwerk verseucht.
Bis vor einiger Zeit war das alleinige Surfen im Internet, solange man keine Active-X-Dokumente und VB-Scripts öffnete, noch relativ ungefährlich. Doch es sind bereits Würmer aufgetaucht, die sich während des Surfens selbst auf den Computer übertragen.

Aufbau von Computerviren

[Bearbeiten]

Wie schon zuvor erwähnt, besteht ein Virus in der Regel aus einer Infektions-, einer Kopier- und einer Statusroutine. Die Infektionsroutine bildet den Kern des Virus. Sie sucht sich ein geeignetes Wirtsprogramm und infiziert es. Die Infektionsroutine enthält die Aktivierungsbedingung (den Trigger) und die Schadensroutine. Spätestens wenn der Trigger erfüllt ist und die Schadensroutine aktiviert wird, macht sich der Virus für den Anwender bemerkbar. Die Kopierroutine hat die Aufgabe, den Virus-Code auf andere Wirtsdateien zu übertragen, damit die Infektionsroutine die ausgewählte Dateien infizieren kann. Um Mehrfachinfektionen zu verhindern setzt die Statusroutine ein bestimmtes Bit in die Wirtsdatei. Daran kann der Virus erkennen, ob die Datei schon infiziert ist. Es gibt aber auch Viren, bei denen eine Mehrfachinfizierung vorkommt. Jeder Computervirus hat seine eigene Taktik, um seine Aufgaben möglichst effektiv zu bewältigen. Und doch gibt es ein paar Gemeinsamkeiten, mit deren Hilfe man die Computerviren zumindest grob unterteilen kann. Da aber ständig neue und vor allem neuartige Viren auftauchen, ist es sehr schwierig, eine vollständige Klassifizierung zu erreichen.

Infektionsarten

[Bearbeiten]

Companion Viren

[Bearbeiten]

Companion-Viren infizieren nicht die Datei selbst. Entweder benennt der Virus die ursprüngliche Datei um und erstellt eine Datei mit dem selben Namen. Diese enthält den Virus alleine. Eine zweite Möglichkeit besteht darin, dass eine Datei erstellt wird, die der ursprünglichen sehr ähnelt (z.B.: Das Original "text.doc" und die vom Virus erzeugte Datei "text.exe". Es kann dazu kommen, dass der Benutzer die beiden Dateien verwechselt und somit den Virus ausführt. Wie man sieht ist diese Art von Virus keiner im eigentlichen Sinn, da er kein Wirtsprogramm verändert oder überschreibt.

Entry Point Obscuring

[Bearbeiten]

Der Begriff „Entry Point Obscuring“ (kurz: EPO) heißt übersetzt „Verschleierung des Einsprungspunkts“. Diese Viren suchen sich eine beliebige Stelle in einer Datei um sich dort einzufügen (z.B.: eine Programmfunktion). Wichtig ist, dass die Funktion einmal aufgerufen wird. Besonders eignet sich hierzu eine Funktion zur Beendigung eines Programmes. Wird der Virus in eine zeitkritische oder sehr häufig aufgerufene Funktion geschrieben, würde er sofort auffallen.
Diese Viren sind zwar sehr schwer zu programmieren, werden dafür aber auch relativ schwer von Viren-Scannern antdeckt.

Überschreibende Viren

[Bearbeiten]

Diese Viren sind am einfachsten zu entwickeln. Sie überschreiben entweder die ganze oder einen Teil der Wirtsdatei. Dadurch wird diese natürlich immens bschädigt. In weiterer Folge kommt es dazu, dass das Programm entweder unvermittelt abbricht, oder erst gar nicht gestartet werden kann. Da das sofort auffällt ist diese Art eines Viruses auch sehr leicht zu entdecken.

Prepender

[Bearbeiten]

Bei dieser Infektionsart wird der Virus zu Beginn der Datei eingefügt. Beim Ausführen wird somit zuerst der Virus aktiv. Erst dann wird das restliche Programm ausgeführt. Der Vorteil liegt darin, dass das Programm weiterhin fehlerfrei ausgeführt wird. Dem Nutzer kann höchstens eine kleine Verzögerung bis zum Programmstart auffallen.

Appender

[Bearbeiten]

Ein Appender Virus hängt sich selbst am Ende der Wirtsdatei an. Am Anfang des Programms wird ein Sprungbefehl eingefügt. Wenn das Programm aufgerufen wird, springt das Programm also zuerst zum Virus, der sofort ausgeführt wird. Am Ende des Viren-Codes befindet sich ein weiterer Sprungbefehl, der zum Anfang des eigentlichen Programmes führt, welches dann ausgeführt wird.

Arten von Viren

[Bearbeiten]

Dropper

[Bearbeiten]

Ein Dropper ist ein Programm, das einen richtigen Virus im Zielsystem installiert. Der Virencode ist dabei normalerweise in einer Art und Weise im Dropper enthalten, die es Antivirenprogrammen unmöglich machen soll, den Virus als solchen im Dropper zu erkennen. Dies wird zum Beispiel durch Verschlüsselungen erreicht.

speicherresidente Viren

[Bearbeiten]

Diese Viren nisten sich konstant im Hauptspeicher ein. Dadurch können sie auch weiterhin ihre Schadensroutine ausführen, oder sich verbreiten, selbst wenn das infizierte Programm beendet wurde.

nicht residente Viren

[Bearbeiten]

Diese Viren sind, wie der Name vermuten lässt, nur so lange aktiv, wie das Wirtsprogramm ausgeführt wird. Wird dieses beendet richtet der Virus keinen Schaden mehr an.

Direct Action Viren

[Bearbeiten]

Direct-Action Viren sind nicht speicherresident. Sie vermehren sich sofort nach dem Programmstart und führen eventuell vorhandene Schadensroutinen aus. Danach entfernen sie sich aus dem Speicher und geben die Kontrolle über das System an das Programm zurück.

Slow Viren

[Bearbeiten]

Diese Viren richten nicht sofort einen merkbaren Schaden an. Vielmehr manipulieren sie Daten geringfügig und versuchen, möglichst lange unerkannt zu bleiben.
Besonders im wirtschaftlichen Bereich kann dies großen Schaden anrichten. Wenn zum Beispiel eine infizierte Datei, die Bilanzen enthält kontinuierlich um wenige Prozent verändert wird, wird dies nicht sofort bemerkt. Gelangt die Datei auf ein Back-Up is dies für die Firma verheerend, da sie unbrauchbar geworden ist.

Script-Viren

[Bearbeiten]

Diese Viren werden direkt in den Skriptteil eines HTML-Dokuments geschrieben. Dieser ist eigentlich dazu da spezielle Funktionen auf Websites zu ermöglichen, wie zum Beispiel dynamische Seiten, Gästebücher etc. Wird die Internet-Seite aufgerufen, so wird der Virus direkt vom Browser ausgeführt. Beispiele hierfür wären Active-X-Viren oder Java-Script-Viren.

Applikations- oder Makroviren

[Bearbeiten]

Der Programmcode dieser Viren wird in der sogenannten Makrosprache geschrieben. Diese wird zum Beispiel von Microsoft Office unterstützt. Außerdem sind Makroviren nahezu Betriebssystem unabhängig. Wird ein Makrovirus zum Beispiel von einem Windows Rechner auf einen Mac übertragen, kann dieser zur Ausführung kommen. Einzige Voraussetzung ist, dass beide Programme Makros unterstützen. Ob der Virus aber auf beiden Rechnern Schaden anrichtet ist fraglich, da diese mit unterschiedlichen Befehlen arbeiten. Bis ins Jahr 2000 stellten sie die größte Bedrohung dar, wurden aber von Würmern abgelöst.

Bootviren

[Bearbeiten]

Der erste Virus, der um die Welt gegangen ist, war ein Bootvirus. Der in Pakistan programmierte Virus „Pakistani Brain“ verbreitete sich 1986 innerhalb eines Jahres in der ganzen Welt nur über Disketten und Festplatten und richtete vor allem in den USA beträchtlichen Schaden an.
Bootviren setzen sich im Bootsektor von Festplatten und Disketten fest. Daher werden sie einerseits nicht gleich erkannt – weil sie auch auf einer leeren Diskette/CD sein können-, und andererseits werden sie gleich am Anfang des Computerstarts aktiviert, noch bevor das Betriebssystem geladen wird. Diese Viren arbeiten mit Sprungbefehlen, damit das eigentliche Programm ebenfalls ausgeführt werden kann. Da sie im Bootsektor sitzen ist ihre Größe auf 444 Bytes limitiert. Heute sind sie jedoch kaum mehr verbreitet.

Dateiviren

[Bearbeiten]

Dateiviren befallen ausführbare Programme (z.B.: .EXE, .COM, .BAT, .SYS, .DLL...).

E-Mail-Viren

[Bearbeiten]

Bei E-Mails verbreiten sich Viren über Dateianhänge. Diese werden entweder mit sehr langen Namen bezeichnet, so dass die ausführbare .COM bzw. .EXE Datei nicht als solche erkannt wird, da nicht der ganze Dateiname angezeigt werden kann.
Eine zweite gern genutzte Möglichkeit ist es auch Dateien mit Doppelendungen zu versehen. Eine Datei Namens "Einfacher-Text.txt.com" wird in Folge nur als "Einfacher-Text.txt" angezeigt und erweckt somit einen harmlosen Eindruck.

Retroviren

[Bearbeiten]

Retroviren werden auf ein einfaches Ziel hin programmiert: das Ausschalten von Anti-Viren-Software, Firewalls und ähnlichem. Das Gefährliche an diesen Viren ist, dass sie dadurch anderen Viren, Würmer und Schadprogrammen Tür und Tor öffnen.

Tarnung von Viren

[Bearbeiten]

Verschlüsselte Viren

[Bearbeiten]

Um unerkannt zu bleiben, transformieren diese Viren ihren Programmcode in unleserliche Zeichen. In diesem Zustand können sie von keiner Antivirensoftware entdeckt werden. Es muss jedoch immer eine Entschlüsselungsroutine in "normaler" Form vorliegen, damit der Virus entschlüsselt und verbreitet werden kann. Diese wird von den Viren-Scannern erkannt.

Stealth-Viren

[Bearbeiten]

Stealth Viren gehören zu den am Schwersten zu erkennenden Viren. Sie sind wie speicherresidenten Viren nach ihrer Aktivierung ständig aktiv und überwachen das System. Zusätzlich verschleiern sie mit verschiedenen Tricks ihre Existenz.
Sie geben bei der Überprüfung der Dateigröße zum Beispiel die ursprüngliche Größe zurück, oder können die Datei bei einer Überprüfung restaurieren und so die Infektion verschleiern.

Polymorphe Viren

[Bearbeiten]

Diese Viren ändern, wie der Name schon sagt, bei jeder Infektion ihr Erscheinungsbild, da sie sich jedesmal anders codieren.

Würmer

[Bearbeiten]

Unterschied zwischen Virus und Wurm

[Bearbeiten]

Der Unterschied zischen Virus und Wurm besteht darin, dass der Wurm nicht abhängig von Wirtsprogrammen ist. Er verbreitet sich also autark und benutzt dazu Sicherheitslücken.
Ein weiterer Unterschied besteht darin, dass der Wurm aktiv versucht in das System einzudringen und nicht wie der Virus darauf wartet "versehentlich" weitergegeben zu werden.

Arten von Würmern

[Bearbeiten]

IRC-Würmer

[Bearbeiten]

IRC's sind sogenannte Internet Relay Chats, in denen die Anwender Textnachrichten austauschen können. Ein IRC-Wurm infiziert die setup.ini Datei dieser Chats. Wird diese dann geladen, kann sich der Wurm an alle Anwender versenden.

Peer-to-Peer-Würmer

[Bearbeiten]

Unter Peer-to-Peer-Netzwerken (kurz: P2P) versteht man eine Direktverbindung zwischen einzelnen Nutzern. Beispiele wären hierbei Tauschbörsen, wie Kazaa oder E-Mule.
Würmer kopieren sich hierbei entweder in freigegebene Ordner, von denen andere Benutzer Dateien herunterladen können. Herbei tritt der Wurm unter einem interessanten Namen auf, um von möglichst vielen Leuten heruntergeladen zu werden. Heutzutage verfügt aber jedes File-Sharing-Programm zum Schutz über Filter, die bestimmte Dateiformate gar nicht erst zulassen.
Eine weitere Möglichkeit wäre, dass der Wurm sich bei jeder Anfrage als die gesuchte Datei ausgibt. Natürlich ist so die Wahrscheinlichkeit größer, dass er heruntergeladen und geöffnet wird. Diese Methode ist zwar sehr effektiv, es ist jedoch sehr schwer einen solchen Wurm zu programmieren.
Die letzte Möglichkeit besteht darin, dass der Wurm automatisiert Sicherheitslücken im Programm sucht und so alle Nachbarn, die ein Benutzer im P2P-Netzwerk aufgelistet hat, angreift. Die Verbreitung erfolgt hier mit rasanter Geschwindigkeit, da der Wurm diesen Vorgang auf jedem Rechner wiederholt.

Instant Messaging Würmer

[Bearbeiten]

Diese Würmer verbreiten sich, indem sie in Messagern wie ICQ, MSN oder Skype zuerst einen Link an einen Benutzer senden. Dieser Link führt zu einer Seite im Internet, die den Wurm enthält. Dies ist notwendig, da Instant Messaging Programme normalerweise über keine eigenen HTML-Parser verfügen. Sobald der Anwender die Seite öffnet wird der Wurm auf seinen Computer übertragen und verbreitet sich dann selbstständig an alle eingetragenen Kontakte.

Handywürmer

[Bearbeiten]

Diese Wurm-Art verbreitet sich über die drahtlose Verbindung zwischen Handys, dem Bluetooth. Sie infizieren Symbian OS, das Betriebssystem des Handys. Seit 2005 existieren auch Würmer, die sich per MMS verschicken.
Noch gibt es keinen wirksamen Schutz gegen Handywürmer, da das Durchsuchen von Nachrichten nach Viren und Würmern den Nachrichtenempfang zu sehr verzögern würde.

Tipp:

Es empfiehlt sich also die Bluetooth-Verbindung des Handys zu deaktivieren


Rabbits

[Bearbeiten]

Unter Rabbits versteht man Würmer (aber auch andere bösartige Software), deren einziges Ziel darin besteht sich ununterbrochen zu vermehren und somit die vorhandene Computerleistung bis zum Äußersten zu strapazieren. Im schlimmsten Fall kommt es dadurch zu Überhitzung und Beschädigung von Hardware.

Octopusses

[Bearbeiten]

Diese Würmer existieren in einem Netzwerk. Sie bestehen aus verschiedenen Programmen auf verschiedenen Rechnern, die jeweils unterschiedliche Teile des Wurms beinhalten. Um Funktionen ausführen zu können, müssen die Teile miteinander über das Netzwerk kommunizieren. Noch sind diese Würmer nicht bzw kaum verbreitet, werden aber nach Expertenmeinung in Zukunft relevanter werden.

Wichtige Begriffe

[Bearbeiten]

Malware

[Bearbeiten]

Als Malware werden sämtliche Programme (bzw. Software) bezeichnet, die vom Benutzer unerwünschte, oder schädliche Funktionen ausführen.

Trojanische Pferde

[Bearbeiten]

Trojanische Pferde sind keine Viren im eigentlichen Sinn, da sie sich nicht selbstständig reproduzieren. Jegliche Programme, die etwas anderes tun als das, was sie vor dem Anwender angeben, werden als Trojaner bezeichnet.
Man kann also sagen, dass jeder Virus ein Trojaner ist, aber nicht jeder Trojaner ein Virus.

Hoaxes

[Bearbeiten]

Ein Hoax ist eine Warnung vor einem nicht existenten Computervirus. Diese wird z.B.: per e-Mail von PC-Besitzer zu PC-Besitzer an alle Freunde, Verwandte und Bekannte weitergegeben. Skuril ist , dass sich solche Meldungen meist schneller verbreiten als so mancher Virus.

Phishing

[Bearbeiten]

Phishing, eine Wortkombination aus „Passwort“ und „Fishing“, ist Trickbetrug per E-Mail. Es wird versucht, über fingierte E-Mails auf gefälschte Bank-, Internet Provider- oder eBay nachempfundene Webseiten zu locken, um dort an Zugangsdaten, wie Kennwörter, Kontonummern etc. zu gelangen.

Spamming (oder Junking)

[Bearbeiten]

Der Begriff Spamming umschreibt die Werbeflut per E-Mail. Sie hat, bis auf die Belästigung des Empfängers, in der Regel keine Schadensfunktionalität.

Dialer

[Bearbeiten]

Eigentlich sind Dialer-Programme kleine Helfer, die Internetnutzern das Leben bequemer machen sollen. Viele Online-Dienste bieten Dialer als bequeme Art der Bezahlung ihrer, im Internet angebotenen, Dienste an. Anstatt der Zahlung per Kreditkarte, Überweisung oder Lastschrift, können die Dienste einfach über die Telefonrechnung bezahlt werden. Abgerechnet wird, indem die Internet-Verbindung über eine 0900-9-Nummer angeboten wird.
Es gibt jedoch auch Menschen, die sich dies zu Nutze machen und z.B.: einen Virus programmieren, der diesen Dialer unbemerkt vom Benutzer installiert und sich anschließend mittels teurer 0190- oder eben 0900-9-Nummern ins Internet einwählt. Es wurden schon Dialer bekannt, die bei einer einzigen Einwahl Kosten von 300 Euro verursacht haben. Bisher rekordverdächtig: Ein Dialer, der mit 900 Euro pro Einwahl zu Buche schlägt. Oft werden solche Programme vom Nutzer erst bemerkt, wenn die nächste Telefonrechnung unerwartet hoch ausfällt. Und entgegen der weit verbreiteten Meinung geschieht dies nicht nur beim Besuch gewisser Internetseiten, die sich an ein Publikum jenseits der Volljährigkeitsgrenze richten.

Tastatur Keylogger (Keystroke Reader)

[Bearbeiten]

Tastatur Keylogger sind Programme, die der Protokollierung von Tastatureingaben dienen. Damit ist es möglich, Passwörter, Sicherheitscodes usw. auszuspionieren. Es dient auch dazu Passwörter mit einem Klick aus dem Internet zu ziehen und auszutauschen.

Rechtliche Situation

[Bearbeiten]

Laut Gesetz macht man sich strafbar, wenn man rechtswidrig Daten verändert, unterdrückt, unbrauchbar macht, oder löscht. Da Computerviren genau das machen, macht man sich mit dem Schreiben und Verbreiten bereits strafbar und muss mit einer Freiheitsstrafe bis zu 5 Jahren rechnen.
Während die bewusste Verbreitung eines Computervirus strafbar ist, gibt es für die unbewusste Verbreitung keine klare Definition. Wenn man einen Virus an eine andere Person weitergibt und diese Person den Virus dann mutwillig auf anderen Computern verbreitet, um Schaden anzurichten, kann man sich der Beihilfe oder Anstiftung strafbar machen. Allerdings sind solche Absichten schwer zu beweisen. Urteile gibt es in diesem Bereich u.a. aus diesem Grund kaum bis gar keine. Es ist auch sehr schwer, die wahren Urheber von Viren ausfindig zu machen. In der Schweiz sind zum Beispiel sämtliche Schritte, die mit der Programmierung und der Verbreitung von Computerviren zu tun haben, verboten und strafbar.

Kopfgeld auf Wurmautoren

[Bearbeiten]

Im November 2003 wurde von Microsoft ein so genanntes Anti-Virus-Reward-Program gegründet. Es dient dazu weltweit die Urheber von Viren und Würmern ausfindig zu machen. Für die Ergreifung und Verurteilung von Wurm- und Virenautoren ist eine Belohnung ausgesetzt. Damit will Microsoft die zuständigen Ermittlungsbehörden bei der Fahndung nach den Verursachern unterstützen. Microsoft arbeitet mit Interpol, FBI, Secret Service und dem „Internet Fraud Complaint Center“ zusammen. Auf dieser „Wanted“-Liste erschienen unter anderem die Autoren der Würmer W32.Blaster, Sasser, Netsky und Sobig. Im Mai 2004 hatte dieses Programm seinen ersten Erfolg, als der Wurmautor von Sasser und Netsky verhaftet und verurteilt wurde. Der zu diesem Zeitpunkt 18-jährige Schüler aus Waffensen im Kreis Rotenburg/Wümme wurde von seinen Freunden wegen der ausgesetzten Belohnung angezeigt.

Exkurs: Bundestrojaner

[Bearbeiten]

Der Begriff steht für die vom Bundesinnenministerium geplante so genannte Online-Durchsuchung. Dabei sollen Computer einmal (Online-Durchsicht) oder während eines gewissen Zeitraums (Online-Überwachung) überprüft bzw. überwacht werden, ohne dass der Nutzer das bemerkt. Der offizielle Begriff lautet "Remote Forensic Software".

Detaillierte Beschreibungen der bekanntesten Viren

[Bearbeiten]

Love Letter

[Bearbeiten]

Im Jahr 2000 ging ein bösartiger VBS-Wurm um die Welt. Die Verbreitung erfolgte über automatisch versandte E-Mails mit dem Betreff „ILOVEYOU“ und dem Anhang “Love-Letter-For-You.txt.vbs“. Wird der LoveLetter aktiv, lädt er sich aus dem Internet ein Trojanisches Pferd, das die Windows-Passwörter des infizierten Computers stiehlt, herunter. Außerdem überschreibt oder löscht er alle Dateien mit den Extensions *.js, *.jse, *.css, *.wsh, *.sct, *.hta, *.jpg, *.jepg, *.mp2, *.mp3 und erzeugt gleichnamige Dateien mit der Endung *.vbs oder *vbe, die den Virencode enthalten. Diese überschriebenen Dateien können nicht mehr gerettet werden. Mittlerweile sind schon zahllose Varianten des LoveLetter im Umlauf, die sich entweder durch den Betreff ober durch die Schadensroutine unterscheiden. Beispielsweise löscht die Variante LoveLetter.E alle *.ini und *.bat – anstelle der *.jpg und *.jepg-Dateien.

Netsky

[Bearbeiten]

W32/Netsky-D ist ein Wurm, der sich per E-Mail verbreitet und indem er sich in die Stammverzeichnisse von verfügbaren Netzlaufwerken kopiert. Wenn er sich per E-Mail versendet, kann der Wurm die E-Mail-Adresse des Senders fälschen. Wenn er erstmals ausgeführt wird, kopiert sich W32/Netsky-D als winlogon.exe in den Windows-Ordner und erstellt einen Registrierungseintrag, so dass winlogon.exe automatisch bei jedem Start von Windows aktiviert wird. W32/Netsky-D durchsucht alle verknüpften Laufwerke nach Dateien mit folgenden Erweiterungen, um E-Mail-Adressen aufzuspüren: MSG, OFT, SHT, DBX, TBB, ADB, DOC, WAB, ASP, UIN, RTF, VBS, HTML, HTM, PL, PHP, TXT und EML.

Sasser

[Bearbeiten]

W32/Sasser-A ist ein Netzwerkwurm, der sich verbreitet, indem er die Microsoft LSASS Schwachstelle ausnutzt. Microsoft hat ein Patch zur Verfügung gestellt, das vor dieser Schwachstelle schützt und das von Microsoft Security Bulletin MS04-011. heruntergeladen werden kann. Der Wurm kopiert sich mit dem Dateinamen avserve.exe in den Windows-Ordner und erstellt einen Registrierungsschlüssel, damit er bei der Benutzeranmeldung automatisch startet. W32/Sasser-A versucht, sich an Port TCP/9996 und TCP/445 zu verbinden und die LSASS-Schwachstelle auszunutzen. Daraufhin wird ein FTP-Skript heruntergeladen und ausgeführt, das sich wiederum mit Port 5554 verbindet, um eine Kopie des Wurms via FTP herunterzuladen.

Sober

[Bearbeiten]

W32/Sober-I ist eine Variante aus der W32/Sober-Massmailing-Wurmfamilie für die Windows-Plattform. W32/Sober-I spürt in Systemdateien E-Mail-Adressen auf und kann in einer E-Mail mit verschiedenen Betreffzeilen und Texten auf den Computer gelangen. Wenn er ausgeführt wird, zeigt W32/Sober-I eine gefälschte Fehlermeldung mit dem Titel "WinZip Self-Extractor" und der Meldung "WinZip_Data_Module is missing ~Error:..." an. Gleichzeigt erstellt er folgende Dateien im Windows-Systemordner, von denen einige zum Speichern der aufgespürten Daten verwendet werden und andere verschlüsselte und/oder gepackte Wurmkopien sind. W32/Sober-I kopiert sich als EXE-Datei in den Windows-Systemordner, wobei er einen Namen benutzt, der aus folgenden Zeichenfolgen zusammgesetzt ist: sys, host, dir, explorer, win, run, log, 32, disc, crypt, data, diag, spool,service,smss32.

[Bearbeiten]

Quellennachweis

[Bearbeiten]