VIREN und andere Gefahren Ultimative Dokumentgestaltung in der Praxis Christof Niederöst Christof Niederöst Error! Use the Home tab to apply Überschrift 1 to the text that you want to appear here. 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis ................................................................ 2 2 Sicherheitlecks & Gefahren gefährden Ihren PC ............... 3 2.1 2.2 2.3 Grundsätzliche Erkenntnisse .................................................................. 3 Da kommen die Viren bzw. Gefahren her ............................................... 3 Was ist denn ein Virus? .......................................................................... 3 3 Aufbau eines Computervirus .............................................. 4 3.1 Interner Aufbau des Virus ....................................................................... 4 4 Voraussetzungen für eine Infektion ................................... 5 4.1 4.2 Vermehrung ............................................................................................ 5 Ablauf der Infektion ................................................................................. 5 5 VIRENARTEN - Beispiele ..................................................... 6 5.1 5.2 5.3 5.4 FAT-Viren (Partitionstabellen-Viren) ....................................................... 6 EXE-Datei-Viren, COM-Datei-Viren ........................................................ 6 Stealth Viren (Stealth=Tarnung) .................................................. 6 Was ist denn ein Worm/Wurm? .............................................................. 6 6 Weitere Gefahren ................................................................. 7 6.1 6.2 6.3 6.4 6.5 Trojanisches Pferd? ................................................................................ 7 Witzprogramm ........................................................................................ 7 Hoax? (Scherz) ....................................................................................... 7 Cookie .................................................................................................... 7 Hacking................................................................................................... 7 7 Stichworte und Produkte..................................................... 9 7.1 7.2 Stichworte, die man ausserdem verstehen sollte ................................... 9 Produkte die man kennen sollte ............................................................. 9 8 Index ................................................................................... 10 (c) 2002 by NIDIS Verlag Seite 2 von 10 Christof Niederöst Error! Use the Home tab to apply Überschrift 1 to the text that you want to appear here. 2 2.1 Sicherheitlecks & Gefahren gefährden Ihren PC Grundsätzliche Erkenntnisse 2.2 Da kommen die Viren bzw. Gefahren her 2.3 Wo Daten ausgetauscht werden, herrscht Gefahr. Eine 100% Sicherheit kann 100% ausgeschlossen werden. Sicherheitsmassnahmen und Mitdenken verringern Lecks & Gefahren. Sicherheitsfirmen boomen (nur falls Sie einen Job suchen) Mails (als Anhang, Macro und VB1) Homepages: Plazieren von Cookies und Trojanischen Pferden Benützung/Download unbekannter Programme Umgehungen der Zugriffsbestimmungen (Hacker) Filtern des Datenverkehrs durch Dritte (Kreditkartennummern) Fahrlässigkeit der BenützerInnen Verunsicherung durch Dritte Was ist denn ein Virus? A „Computer Virus“ is a program that can „infect“ other programs by modifying them to include a possibly evolved version of itself. (Fred Cohen, 1984) 2.3.1 Ähnlicher Aufbau wie Anwenderprogramm Programmiert mit Programmiersprache In Maschinencode kompiliert2 2.3.2 Bezeichnung Computervirus steht auch für jede Art ungewünschtem Programmcode 2.3.3 Fortpflanzung Computervirus kann sich auch einfach sich vermehren, ohne Schaden anzurichten Vertrauen in Daten und Funktionsfähigkeiten des PCs sind gestört 2.3.4 Folgen Zerstörung von Daten Vertrauen in Informatik wird gestört Kosten Zwischenmenschliche Probleme 1 VB = Visual Basic, eine Programmiersprache 2 komplieren = umwandeln, hier also in Maschinencode umgewandelt (c) 2002 by NIDIS Verlag Seite 3 von 10 Christof Niederöst Error! Use the Home tab to apply Überschrift 1 to the text that you want to appear here. 3 Aufbau eines Computervirus 3.1 Interner Aufbau des Virus 3.1.1 Infektorteil: Kernteil des Virus, Sucht Wege zur Infektion, versucht Tarnung 3.1.2 Wirtsteil: Das „Fremdprogram“, in das sich der Virus eingenistet hat (z.B. Word) 3.1.3 Kopierroutine: Kopiert den Virus in andere Wirtsdateien. Ist auch für Speicherung von verschobenen Daten zuständig (z.B. MBR) 3.1.4 Statusroutine: Flag-Bit in Wirtsdatei an der der Virus erkennt, ob die Datei bereits infiziert ist. (c) 2002 by NIDIS Verlag Seite 4 von 10 Christof Niederöst Error! Use the Home tab to apply Überschrift 1 to the text that you want to appear here. 4 Voraussetzungen für eine Infektion 4.1 Vermehrung Vermehrung ist nur möglich, wenn der Programmcode auch ausgeführt werden kann. 4.1.1 Programmstart Boot-Sektor-Virus (auch ab Speichermedium) Macro-Virus durch öffnen des Dokumentes 4.1.2 Fortpflanzungswunsch 4.2 Ablauf der Infektion 3 das Virus will aktiviert werden das Virus will weiterverbreitet werden das Virus will seine Manipulation am Tag X oder bei erreichen der Dateigrösse Y ausführen Infizierte Datei wird aufgerufen Virus wird dadurch aktiviert Virus versucht weitere „Wirtsdateien“ (EXE-Dateien3, VBA, Macrodateien) zu finden und durch einfügen einer Kopie von sich selbst zu infizieren. Weitere Programme sind infiziert. Bei Aufruf wird ebenfalls der Virus aktiviert. EXE = Execute, Endung von Programmdateien (c) 2002 by NIDIS Verlag Seite 5 von 10 Christof Niederöst Error! Use the Home tab to apply Überschrift 1 to the text that you want to appear here. 5 VIRENARTEN - Beispiele 5.1 FAT-Viren (Partitionstabellen-Viren) 5.1.1 Aufruf-Ablauf Programmaufruf erfolgt Betriebssystem schaut in FAT, wo das Programm ist FAT-Virus wird aufgerufen FAT-Virus schaut ins „Schatten-FAT“, wo das Programm ist und startet es Auch sein „Vermehrungsfaktor“ ist gestartet. 5.1.2 Folgen Crossed linked-Files4 Lost Cluster5 z.B. Einheitsgrösse von 1024 Byte 5.2 EXE-Datei-Viren, COM-Datei-Viren 5.2.1 Aufruf-Ablauf Infiziert ein Wirtsfile (winword.exe) Ändert dieses Programm ab Header wird geändert, dass Programmlänge noch „vorgegaukelt wird“ 5.2.2 Folgen An einem bestimmten Zeitpunkt wird irgendeine Funktion (DELTREE C:*.* oder Format C: ) ausgeführt 5.3 Stealth Viren 5.3.1 Grundlagen (Stealth=Tarnung) Technisch sehr Fortgeschritten Speicherresident Gaukelt dem Anwender vor, dass alles stimmt Beim Öffnen wird der Virus aus der Wirtsdatei entfernt – alles funktioniert – beim Schliessen wieder eingefügt 5.3.2 Folgen An einem bestimmten Zeitpunkt wird irgendeine Funktion (DELTREE C:*.* oder Format C: ) ausgeführt Viele Lost Clusters 5.4 Was ist denn ein Worm/Wurm? 5.4.1 Grundlagen 5.4.1.1 Selbstfortpflanzendes Programm Ruft sich so oft auf bis PC oder gar Netzwerk kollabiert Kann sich u.U. selber per EMail versenden (z.B. Melissa oder Explore.zip) 5.4.2 Folgen 4 5 Zerstörungen wie „gängige Viren“ überlappende Files verlorene, nicht zugeteilte Sektoren (c) 2002 by NIDIS Verlag Seite 6 von 10 Christof Niederöst Error! Use the Home tab to apply Überschrift 1 to the text that you want to appear here. 6 6.1 Weitere Gefahren Trojanisches Pferd? Man denke an die Geschichte von Troja Scheinbar nützliches Programm wird auf dem PC eingespielt (z.B. via E-Mail Anhang oder in einem Spiel, einem Hilfsprogramm usw.) Das Trojanische Pferd spioniert Tastatureingaben, Passworter etc. auf dem PC aus und übermittelt diese bei Gelegenheit an den Ersteller des Pferdes oder verändert Daten in Datenbanken, formatiert die Festplatte oder löscht die FAT Unterschied zum Virus: Trojaner brauchen kein Wirtsprogramm und vermehrt sich nicht. 6.2 Witzprogramm 6.2.1 Zum erschrecken unbedarfter Anwender Ohne Gefahr, nur „Belustigung“ Bild löscht ab, löst sich auf oder wackelt Viruswarnung ohne Virus Format C: Warnung ohne Ausführung 6.2.2 Arbeitsausfall, Alarmierung Servicetechniker usw. Arbeitssabotage? Mobbing? 6.3 Hoax? (Scherz) 6.3.1 Undurchschaubare Virenwarnung, ev. Fehlalarm „Senden Sie diesen Brief an alle Personen die Sie kennen“: Kettenbrief auf computerianisch Falls dies alle an 50 Mail-Adressen tun, haben Sie nach 4 Stufen schon 1 / 50 / 2500 / 125000 Mails im Umlauf. 6.3.2 Massnahmen 6.4 Unbekannten oder verdächtigen Virenwarnungen keine Beachtung schenken. Nicht weitersenden, sofort löschen. Besser Homepages der Virenhersteller auf News konsultieren. Cookie Ein Cookie (Guetzli) ist ein „gutes“ trojanisches Pferd. Information wird lokal installiert. Cookies befinden sich in einem Ordner mit dem selben Namen (meist im Verzeichnis von Windows oder den Anwenderdaten). 6.5 Hacking 6.5.1 Eindringen in das PC-Netzwerk durch Dritte Ausspionieren von Daten Mutieren von Daten 6.5.2 Prävention statt Heilung (c) 2002 by NIDIS Verlag Seite 7 von 10 Christof Niederöst Error! Use the Home tab to apply Überschrift 1 to the text that you want to appear here. 6.5.2.1 Benutzer sensibilisieren, aufklären Umgang mit „Werkzeugen“ aktiv schulen 6.5.2.2 Lokal Keine Disks in den Laufwerken Laufwerkzugriffsreihenfolge ändern (Boot-Reihenfolge) Keine unbekannten Daten übernehmen Keine E-Mail-Adressen in Outlook speichern (bzw. diese genügend schützen) 6.5.2.3 Netzwerk Vorsicht mit Download Keine unbekannten Mailabsender öffnen Keine Mails öffnen, wenn Betreff nicht logisch 6.5.2.4 Produktauswahl Meistverwendete Produkte wie Outlook-Adressbuch sind einfach interessantere Zielscheiben als selten verwendete Produkte 6.5.2.5 Virenscanner Virenscanner installieren Regelmässig upgraden Mitlaufen lassen Beim senden und beim empfangen von Email scannen 6.5.2.6 Firewall Firewall installieren Firewall in Schule oder Betrieb durch Fachmann konfigurieren lassen 6.5.2.7 Zugriffschutz Schulnetz von Verwaltungsnetz trennen Passwortvergabe Login Protokolle 6.5.2.8 Internet-Trennmöglichkeit ADSL (Standleitung per Kupferkabel) und DSL (Standleitung per Fernsehkabel) bei nicht Gebrauch ausschalten Telefon Logoff (Verbindung trennen) Verwendung „kleiner“ und überschaubarer Lösungen 6.5.2.9 Browsereinstellungen VBA, Cookies, JavaScript usw. auf „Vorsicht“ stellen (c) 2002 by NIDIS Verlag Seite 8 von 10 Christof Niederöst Error! Use the Home tab to apply Überschrift 1 to the text that you want to appear here. 7 7.1 Stichworte und Produkte Stichworte, die man ausserdem verstehen sollte 7.2 Heuristik: Durch bisherige Erfahrung reproduzierbare Codes erkennen (Verhaltensmuster) Quarantäne: Vor Zugriff sperren Produkte die man kennen sollte Symantec Norton AntiVirus / Firewall MCAfee 1-2 Weitere, je nach Region und Betrieb (c) 2002 by NIDIS Verlag Seite 9 von 10 Christof Niederöst Error! Use the Home tab to apply Überschrift 1 to the text that you want to appear here. 8 Index (Hier fügen Sie den Index ein) (c) 2002 by NIDIS Verlag Seite 10 von 10