Viren/Trojaner

Viren/Trojaner

• Viren
  Viren hängen sich in der Regel an ganz normale Software an, um sich bei deren Start im PC fest zu installieren. Nach dem Neustart des Rechners bleibt dieser automatisch infiziert, auch ohne die ursprünglich verseuchte Software zu starten. Von diesem Zeitpunkt an wird der Virus versuchen, so viele Programme wie möglich auf diesem PC ebenfalls zu infizieren. Wird eines der infizierten Programme auf einem sauberen PC gestartet, dann wird dieser automatisch ebenfalls infiziert usw. Die Auswirkungen von Viren können sehr unterschiedlich sein und hängen von der Kreativität der Programmierer ab. Charakteristisch ist aber immer die maximal mögliche Infizierung anderer Programme auf diesem PC, um die Wahrscheinlichkeit zur Verbreitung durch eine Kopie auf dem nächsten PC zu erhöhen. Viren werden entweder durch Datenträger (USB-Sticks, selbstgebrannte DVDs und CDs), oder durch Software-Tauschbörsen im Internet verbreitet. Namhafte Shareware-Seiten überprüfen die von ihnen zur Verfügung gestellte Software grundsätzlich und regelmäßig auf Virenbefall. Je höher die Seriösität und Bekanntheit der Betreiber, umso geringer ist die Virengefahr. Einige Programmierer geben auch Prüfsummen zu ihrer Software an, die der Anwender vor der Installation auf seinem PC überprüfen kann.
  
  
• Würmer
  Im Gegensatz zu Viren verbreiten sich Würmer hauptsächlich über eMails, aber grundsätzlich über das Internet. Die Schadfunktionen sind hierbei ähnlich und hängen ebenfalls von der Kreativität der Programmierer ab. Oftmals kennen PC-Benutzer - wenn überhaupt - nur wenige PC-typische Dateierweiterungen (z.B. "MP3" für MP3-Musikstücke, "JPG" für JPEG-Fotos, usw.). Die typischerweise unter Windows ausführbaren Programme ("EXE", PIF", "COM", "SCR", "CMD" u.a.) sind meistens nicht bekannt. Die Betrüger nutzen diese Unkenntnis, um einer Datei z.B. den Namen "FERRARI.JPG.EXE" zu geben. Viele Benutzer glauben dem erlogenen Text in der eMail, und starten neugierig das vermeintliche "Erlkönig-Foto" eines in diesem Beispiel noch nicht veröffentlichten Luxuswagens. Geradewegs installieren sie sich damit den erst wenige Stunden alten Wurm, der vom Virenscanner möglicherweise noch gar nicht erkannt wird.
  Ab sofort wird sein PC permanent versuchen, sich so schnell wie möglich über sämtliche im befallenen PC gefundenen eMail-Adressen weiter zu verbreiten. Dabei muss kein eMail-Programm installiert sein, der Wurm wartet nur solange, bis wieder eine Internet-Verbindung besteht. Würmer werden - genauso wie beim Virus - nach jedem Neustart des befallenen PCs automatisch wieder neu aktiviert. Beim Versand der eMails wird die Herkunft der Würmer verschleiert (es wird also nicht die eMail-Adresse des verseuchten PCs als Absender angegeben, sondern irgendeine andere auf diesem PC gefundene). Auch der Betreff der eMail wird automatisch gewählt, um soviele Anwender wie möglich beim Empfang der eMail zu täuschen. Dieses Konzept funktioniert aufgrund der Gutgläubigkeit vieler PC-Benutzer leider bis auf den heutigen Tag. Besonders ärgerlich ist, dass mit der Verseuchung eines einzigen PCs dessen komplette, oftmals sogar sehr geheim gehaltene eMail-Adressenliste an Adressenhändler weitergeleitet werden kann und Unbeteiligte anschliessend mit unangeforderten eMails überschüttet werden.
  Da einige Würmer-Arten nach der Verseuchung eines PCs im Internet Kontakt zu ihrer Kontrollstelle aufnehmen, können die Antiviren-Hersteller im Programmcode diese fest verdrahteten Server identifizieren und bereits nach wenigen Tagen abschalten lassen. Die Betrüger haben also meist nur wenig Zeit, um so viele PCs wie möglich zu befallen und zu schädigen. Entsprechend aggressiv müssen sie vorgehen.
  
  
• Trojaner (Trojanische Pferde)
  Wie der Name schon sagt, schleichen sich Trojaner als Wolf im Schafspelz in den PC. Die Neugierde, Gutgläubigkeit oder Unwissenheit eines Anwenders veranlasst diesen zum Programmstart der verseuchten Datei und damit zur Infizierung des PCs. Die Auswirkungen entsprechen denen der Viren und Würmer. In einigen Fällen wurden Trojaner in sehr nützliche Software eingebettet, um eine hohe Verbreitung zu erreichen und damit wirkungsvoll Zugangsdaten und Passwörter auszuspionieren. Oftmals werden Trojaner auch mit den Mechanismen von Würmern per eMail weiterverbreitet.
  Eine erpresserische, im Anhang von Spam verschickte Trojaner-Variante sucht nach der Infizierung des PCs nach lokal abgespeicherten Dokumenten, Tabellen und Datenbanken, um diese gesammelt in einem verschlüsselten ZIP-Archiv abzulegen. Will der PC-Benutzer seine Daten wieder auspacken, dann benötigt er ein geheimes Passwort, das er per eMail aber erst nach Zahlung von 300 US-Dollar zugeschickt bekommt. Antivirus-Experten konnten dieses Passwort kurz nach der Verbreitung des Trojaners aus dessen Schadroutinen extrahieren. Es ist aber zu erwarten, dass das Passwort bei zukünftigen Mutationen dieses Trojaners wesentlich schwerer zu extrahieren sein wird.
  
  
• Exploits im Browser
  Sehr gefährlich sind die sogenannten "Exploits", also auf zweifelhaften Web-Servern untergebrachte Programmteile, die Schwachstellen in Browsern (hauptsächlich für den am weitesten verbreiteten "Microsoft Internet Explorer", aber auch für "Mozilla Firefox" und andere) ausnutzen, und den PC von Benutzern beim Aufruf zweifelhafter Seiten ohne dessen Kenntnis infizieren. Da kaum ein Benutzer auf derartige Webseiten klicken würde, werden diese mit Spam umworben. Meist enthält der mit Absendernamen von existierenden Firmen versandte Spam verwirrende Bestätigungen von nie getätigten Bestellungen oder auch gefälschte eBay-Kontaktaufnahmen, in denen wg. scheinbar unbezahlter Auktionen mit deutlichen Konsequenzen gedroht wird. In allen Fällen soll der Benutzer verunsichert werden und auf den angegebenen Link (bzw. "Antwort"-Button) klicken. Tut er das mit einem nicht aktualisierten Browser, wird sein PC ohne weitere Benutzeraktionen von der aufgerufenen Webseite auf Schwachstellen untersucht und bei nicht aktuellen Systemen hoffnungslos verseucht.
  
  Wie das passieren kann? Da keine Software fehlerfrei ist und zur modernen Bedienung über viele sogenannten Schnittstellen mit anderen Programmen kommunizieren muss, werden immer wieder fehlerhafte Programmteile entdeckt, die von Betrügern gezielt ausgenutzt werden. Die Betriebssystemhersteller arbeiten unter Hochdruck daran, diese Schwachstellen möglichst schnell durch die Verfügbarkeit von Patches zu schliessen. Solange die PC-Benutzer diese Patches aber nicht zeitnah und regelmäßig installieren (bei Microsoft Windows z.B. über die eingebaute "Windows Update"-Funktion), sind sie schutzlos den Angriffen von Betrügern ausgesetzt. Die Konsequenzen sind dieselben wie bei Viren und Würmern.
  
  
• Exploits im Betriebssystem
  Eine weitere Steigerung sind "Exploits" im Betriebssystem. Laut einer Meldung vom 09.07.2006 (dpa) tauchen nach Angaben des Professors für IT-Sicherheit an der Universität Koblenz, Rüdiger Grimm, "weltweit täglich mehr als zehn neue Schwachstellen in Betriebssystemen auf, die Einfallstore für Viren und so genannte Trojaner werden können".
  Ein Windows-PC, der noch nie mit Updates aktualisiert wurde (und bei DSL ohne Router per PPPoE direkt mit dem Internet verbunden ist), braucht nur für durchschnittlich eine Stunde mit dem Internet verbunden zu sein, um hoffnungslos verseucht zu werden. Wie das geschehen kann? Betrüger haben im Internet viele hochmoderne Server aufgebaut, die Tag und Nacht pausenlos nichts anderes machen, als nach verwundbaren Systemen zu suchen. Haben sie eines gefunden, dann installieren sie automatisch jede Menge Schadsoftware, hauptsächlich aber Programme, die die Fernsteuerung des PCs ermöglichen. Der Anwender wird davon nichts merken. Derart verseuchte PCs können dann unter Umständen gemeinsam als sogenanntes "Botnetz" ("Bot" stammt von "Robot" = Automat) zu einem hochgefährlichen Machtinstrument der Betrüger werden:
  
  
  • Botnetz-Spam (unverlangt über Botnetze zugesandte eMails)
    Die meisten unverlangt zugesandten Werbe-eMails werden über verseuchte Rechner versandt (weltweit, aber wg. der sehr guten Aufklärungsarbeit der deutschen Provider nur sehr selten aus Deutschland). Jede eMail hat nur ein einziges Merkmal, das unverfälschbar auf den Urheber verweist: die eindeutige IP-Adresse ihres PCs. Alle anderen Daten können sehr einfach gefälscht werden (auf dem PC soll ja auch jede beliebige eMail-Adresse installiert werden können). Will ein Spammer nun seine millionenfachen Werbebotschaften so versenden, dass er nicht identifiziert werden kann, dann braucht er dies nur über einen Rechner in seinem Botnetz zu machen. An welchem Ort auf dieser Erde der PC steht, spielt im Internet überhaupt keine Rolle. Er wird brav das machen, was sein Botmaster ihm sagt. Automatisch und unverfälschbar wird er der eMail abschließend seine eigene IP-Adresse mitgeben. Wird der Besitzer dieses PCs ermittelt, so ist er in den meisten Fällen völlig überrascht - hat er doch so wenig Ahnung von seinem PC, dass er ihn noch nicht einmal mit einem aktuellen Virenscanner ausgerüstet hat.
    Die Betrüger stört dieser eine entdeckte PC nicht, sie können doch auf ein Netzwerk von meist über 100.000 verseuchten und komplett kontrollierbaren PCs zurückgreifen. Wird ein solcher PC einmal aus- und wieder eingeschaltet, so meldet sich die Schadsoftware brav bei seinem Botnetz wieder an. Es ist unglaublich schwierig, derartige Botnetze auszuhebeln, da täglich hunderte neue PCs in das Botnetz hinzukommen (hauptsächlich zu den Geschenkzeiten um Weihnachten und Ostern). Botnetze werden übrigens auch gegen hohes Entgeld als Dienstleistung an Spammer vermietet.
    
    
  • Botnetz: dDoS-Attacken (distributed Denial of Service)
    Ihre ganze Macht spielen Botnetze im gemeinsamen Angriff auf friedliche Web-Server aus. Es sind bereits Fälle bekannt, bei denen Firmen nach Mafia-Methoden erpresst wurden. Wie das funktioniert? Ganz einfach: Eine Webseite (im aktuellen Fall ein Wettbüro) bezahlt das Schutzgeld nicht. Unmittelbar vor einem wichtigen Spiel steigen die Wetteinsätze enorm an - also ein wichtiger und umsatzträchtiger Zeitpunkt. Da die Firma auch die letzte Warnung der Betrüger kommentarlos verstreichen ließ, aktivieren diese ihr gesamtes Botnetz mit über 10.000 PCs und lassen diese pausenlos und zur selben Zeit die Webseite des Wettbüros aufrufen. Als logische Konsequenz kann der Server nicht mehr alle Aufrufe zeitnah bearbeiten und wird immer schwerer erreichbar. Da Wetten prinzipbedingt immer in letzter Minute abgeschlossen werden, springen alle Kunden ab - eine Katastrophe für dieses Unternehmen.
    Doch damit nicht genug. Anstelle einfacher Webseiten-Anfragen, die der Server einfach nicht mehr zeitnah beantworten kann, senden die PCs im Botnetz jetzt absichtlich "defekte" Anfragen, die wesentlich aufwändiger und mit höherer Rechenleistung einzeln verarbeitet werden müssen. Der Server bricht unter der Last vollkommen zusammen, da die Menge an gleichzeitigen "defekten" Anfragen nach einigen Minuten aus Kapazitätsgründen (begrenzter Hauptspeicher und Festplatte) nicht mehr gespeichert werden kann. Der Server ist unter diesen Umständen auch vom autorisierten Wartungspersonal nicht mehr über Internet kontrollierbar, und muss von einem Techniker im Rechenzentrum manuell neu gestartet werden. Die 100.000 Rechner im Botnetz stört dies nicht, sie warten geduldig darauf, bis der Server wieder erreichbar ist und überlasten ihn wenige Minuten später von Neuem. Die Industrie hat mit "Load-Balancern" und ausgeklügelter Server-Software bereits Abhilfe für diese Probleme gefunden. Letztendlich ist es aber nur eine Frage der Größe des Botnetzes, um auch diese Lösungen wieder in die Knie zu zwingen.
    Laut einer Meldung vom 06.10.2006 wurden die drei russischen Online-Erpresser des erwähnten Wettbüros in ihrem Land gefasst und zu jeweils acht Jahren Haft verurteilt. Zitat:

    "Die Verurteilten Ivan Maksakov, Alexander Petrov und Denis Stepanov haben in einem Fall durch ihre verteilten Denial-of-Service-Attacken das Online-Wettbüro Canbet um mehrere hunderttausend US-Dollar geschädigt, weil es der Geldforderung von 10.000 US-Dollar nicht nachkommen wollte. Über einen Zeitraum von vier Monaten sollen die Männer insgesamt 55 derartige Angriffe gegen Firmen in 30 Ländern verübt haben."

"Die schon in den vorherigen halbjährlich erscheinenden Threat Reports von Symantec genannte Antriebsfeder für die Angriffe bleibt weiterhin die Profitgier. Die Vermietung von Botnetzen für Distibuted-Denial-of-Service-Attacken scheint sich etabliert zu haben. Symantec beobachtete ausgehend von fast 60.000 aktiven Botnetzen rund 6.000 DoS-Attacken pro Tag. Insgesamt zählte Symantec 4,6 Millionen aktive Zombie-PCs. Mit 54 Prozent aller DoS-Angriffe standen die USA als Ziel im Mittelpunkt der Gefechte. Allerdings gingen von dort mit 42 Prozent aller Bot-Control-Server auch die meisten Angriffe aus. Den höchsten Anteil an Zombie-PCs weltweit wies China mit 20 Prozent auf."

© 2006-2007 impact e.V.
Jegliche Kopien, auch auszugsweise, sind nur mit Angabe des Urhebers gestattet.
Letzte Aktualisierung: 19.12.2006