VIREN und andere Gefahren

Werbung
VIREN
und andere
Gefahren
Ultimative Dokumentgestaltung
in der Praxis
Christof Niederöst
Christof Niederöst
Error! Use the Home tab to apply Überschrift 1 to the text that
you want to appear here.
1
Inhaltsverzeichnis
Hier fügen Sie später das Inhaltsverzeichnis ein
(c) 2002 by NIDIS Verlag
Seite 2 von 10
Christof Niederöst
Error! Use the Home tab to apply Überschrift 1 to the text that
you want to appear here.
2
2.1
Sicherheitlecks & Gefahren gefährden Ihren PC
Grundsätzliche Erkenntnisse




2.2
Da kommen die Viren bzw. Gefahren her







2.3
Wo Daten ausgetauscht werden, herrscht Gefahr.
Eine 100% Sicherheit kann 100% ausgeschlossen werden.
Sicherheitsmassnahmen und Mitdenken verringern Lecks & Gefahren.
Sicherheitsfirmen boomen (nur falls Sie einen Job suchen)
Mails (als Anhang, Macro und VB)
Homepages: Plazieren von Cookies und Trojanischen Pferden
Benützung/Download unbekannter Programme
Umgehungen der Zugriffsbestimmungen (Hacker)
Filtern des Datenverkehrs durch Dritte (Kreditkartennummern)
Fahrlässigkeit der BenützerInnen
Verunsicherung durch Dritte
Was ist denn ein Virus?
A „Computer Virus“ is a program that can „infect“ other programs by modifying
them to include a possibly evolved version of itself. (Fred Cohen, 1984)
2.3.1 Ähnlicher Aufbau wie Anwenderprogramm


Programmiert mit Programmiersprache
In Maschinencode kompiliert
2.3.2 Bezeichnung Computervirus

steht auch für jede Art ungewünschtem Programmcode
2.3.3 Fortpflanzung


Computervirus kann sich auch einfach sich vermehren, ohne Schaden
anzurichten
Vertrauen in Daten und Funktionsfähigkeiten des PCs sind gestört
2.3.4 Folgen




Zerstörung von Daten
Vertrauen in Informatik wird gestört
Kosten
Zwischenmenschliche Probleme
(c) 2002 by NIDIS Verlag
Seite 3 von 10
Christof Niederöst
Error! Use the Home tab to apply Überschrift 1 to the text that
you want to appear here.
3
Aufbau eines Computervirus
3.1
Interner Aufbau des Virus
3.1.1 Infektorteil:

Kernteil des Virus, Sucht Wege zur Infektion, versucht Tarnung
3.1.2 Wirtsteil:

Das „Fremdprogram“, in das sich der Virus eingenistet hat (z.B. Word)
3.1.3 Kopierroutine:

Kopiert den Virus in andere Wirtsdateien. Ist auch für Speicherung von
verschobenen Daten zuständig (z.B. MBR)
3.1.4 Statusroutine:

Flag-Bit in Wirtsdatei an der der Virus erkennt, ob die Datei bereits infiziert
ist.
(c) 2002 by NIDIS Verlag
Seite 4 von 10
Christof Niederöst
Error! Use the Home tab to apply Überschrift 1 to the text that
you want to appear here.
4
Voraussetzungen für eine Infektion
4.1
Vermehrung
Vermehrung ist nur möglich, wenn der Programmcode auch ausgeführt werden
kann.
4.1.1 Programmstart


Boot-Sektor-Virus (auch ab Speichermedium)
Macro-Virus durch öffnen des Dokumentes
4.1.2 Fortpflanzungswunsch



4.2
das Virus will aktiviert werden
das Virus will weiterverbreitet werden
das Virus will seine Manipulation am Tag X oder bei erreichen der
Dateigrösse Y ausführen
Ablauf der Infektion





Infizierte Datei wird aufgerufen
Virus wird dadurch aktiviert
Virus versucht weitere „Wirtsdateien“ (EXE-Dateien, VBA, Macrodateien) zu
finden
und durch einfügen einer Kopie von sich selbst zu infizieren.
Weitere Programme sind infiziert. Bei Aufruf wird ebenfalls der Virus
aktiviert.
(c) 2002 by NIDIS Verlag
Seite 5 von 10
Christof Niederöst
Error! Use the Home tab to apply Überschrift 1 to the text that
you want to appear here.
5
VIRENARTEN - Beispiele
5.1
FAT-Viren (Partitionstabellen-Viren)
5.1.1 Aufruf-Ablauf





Programmaufruf erfolgt
Betriebssystem schaut in FAT, wo das Programm ist
FAT-Virus wird aufgerufen
FAT-Virus schaut ins „Schatten-FAT“, wo das Programm ist und startet es
Auch sein „Vermehrungsfaktor“ ist gestartet.
5.1.2 Folgen



Crossed linked-Files (überlappende Files)
Lost Cluster (verlorene, nicht zugeteilte Sektoren)
z.B. Einheitsgrösse von 1024 Byte
5.2
EXE-Datei-Viren, COM-Datei-Viren
5.2.1 Aufruf-Ablauf



Infiziert ein Wirtsfile (winword.exe)
Ändert dieses Programm ab
Header wird geändert, dass Programmlänge noch „vorgegaukelt wird“
5.2.2 Folgen
An einem bestimmten Zeitpunkt wird irgendeine Funktion (DELTREE C:*.* oder
Format C: ) ausgeführt
5.3
Stealth Viren
5.3.1 Grundlagen




(Stealth=Tarnung)
Technisch sehr Fortgeschritten
Speicherresident
Gaukelt dem Anwender vor, dass alles stimmt
Beim Öffnen wird der Virus aus der Wirtsdatei entfernt – alles funktioniert –
beim Schliessen wieder eingefügt
5.3.2 Folgen


An einem bestimmten Zeitpunkt wird irgendeine Funktion (DELTREE C:*.*
oder Format C: ) ausgeführt
Viele Lost Clusters
5.4
Was ist denn ein Worm/Wurm?
5.4.1 Grundlagen
5.4.1.1 Selbstfortpflanzendes Programm
 Ruft sich so oft auf bis PC oder gar Netzwerk kollabiert
 Kann sich u.U. selber per EMail versenden (z.B. Melissa oder Explore.zip)
5.4.2 Folgen

Zerstörungen wie „gängige Viren“
(c) 2002 by NIDIS Verlag
Seite 6 von 10
Christof Niederöst
Error! Use the Home tab to apply Überschrift 1 to the text that
you want to appear here.
6
6.1
Weitere Gefahren
Trojanisches Pferd?




Man denke an die Geschichte von Troja
Scheinbar nützliches Programm wird auf dem PC eingespielt (z.B. via E-Mail
Anhang oder in einem Spiel, einem Hilfsprogramm usw.)
Das Trojanische Pferd spioniert Tastatureingaben, Passworter etc. auf dem
PC aus und übermittelt diese bei Gelegenheit an den Ersteller des Pferdes
oder verändert Daten in Datenbanken, formatiert die Festplatte oder löscht
die FAT
Unterschied zum Virus: Trojaner brauchen kein Wirtsprogramm und
vermehrt sich nicht.
6.2
Witzprogramm
6.2.1 Zum erschrecken unbedarfter Anwender




Ohne Gefahr, nur „Belustigung“
Bild löscht ab, löst sich auf oder wackelt
Viruswarnung ohne Virus
Format C: Warnung ohne Ausführung
6.2.2 Arbeitsausfall, Alarmierung Servicetechniker usw.


Arbeitssabotage?
Mobbing?
6.3
Hoax? (Scherz)
6.3.1 Undurchschaubare Virenwarnung, ev. Fehlalarm


„Senden Sie diesen Brief an alle Personen die Sie kennen“: Kettenbrief auf
computerianisch
Falls dies alle an 50 Mail-Adressen tun, haben Sie nach 4 Stufen schon 1 /
50 / 2500 / 125000 Mails im Umlauf.
6.3.2 Massnahmen



6.4
Unbekannten oder verdächtigen Virenwarnungen keine Beachtung
schenken.
Nicht weitersenden, sofort löschen.
Besser Homepages der Virenhersteller auf News konsultieren.
Cookie



Ein Cookie (Guetzli) ist ein „gutes“ trojanisches Pferd.
Information wird lokal installiert.
Cookies befinden sich in einem Ordner mit dem selben Namen (meist im
Verzeichnis von Windows oder den Anwenderdaten).
6.5
Hacking
6.5.1 Eindringen in das PC-Netzwerk durch Dritte


Ausspionieren von Daten
Mutieren von Daten
6.5.2 Prävention statt Heilung
(c) 2002 by NIDIS Verlag
Seite 7 von 10
Christof Niederöst
Error! Use the Home tab to apply Überschrift 1 to the text that
you want to appear here.
6.5.2.1 Benutzer
 sensibilisieren, aufklären
 Umgang mit „Werkzeugen“ aktiv schulen
6.5.2.2 Lokal
 Keine Disks in den Laufwerken
 Laufwerkzugriffsreihenfolge ändern (Boot-Reihenfolge)
 Keine unbekannten Daten übernehmen
 Keine E-Mail-Adressen in Outlook speichern (bzw. diese genügend
schützen)
6.5.2.3 Netzwerk
 Vorsicht mit Download
 Keine unbekannten Mailabsender öffnen
 Keine Mails öffnen, wenn Betreff nicht logisch
6.5.2.4 Produktauswahl
 Meistverwendete Produkte wie Outlook-Adressbuch sind einfach
interessantere Zielscheiben als selten verwendete Produkte
6.5.2.5 Virenscanner
 Virenscanner installieren
 Regelmässig upgraden
 Mitlaufen lassen
 Beim senden und beim empfangen von Email scannen
6.5.2.6 Firewall
 Firewall installieren
 Firewall in Schule oder Betrieb durch Fachmann konfigurieren lassen
6.5.2.7 Zugriffschutz
 Schulnetz von Verwaltungsnetz trennen
 Passwortvergabe
 Login Protokolle
6.5.2.8 Internet-Trennmöglichkeit
 ADSL (Standleitung per Kupferkabel) und DSL (Standleitung per
Fernsehkabel) bei nicht Gebrauch ausschalten
 Telefon Logoff (Verbindung trennen)
 Verwendung „kleiner“ und überschaubarer Lösungen
6.5.2.9 Browsereinstellungen
 VBA, Cookies, JavaScript usw. auf „Vorsicht“ stellen
(c) 2002 by NIDIS Verlag
Seite 8 von 10
Christof Niederöst
Error! Use the Home tab to apply Überschrift 1 to the text that
you want to appear here.
7
7.1
Stichworte und Produkte
Stichworte, die man ausserdem verstehen sollte


7.2
Heuristik: Durch bisherige Erfahrung reproduzierbare Codes erkennen
(Verhaltensmuster)
Quarantäne: Vor Zugriff sperren
Produkte die man kennen sollte



Symantec Norton AntiVirus / Firewall
MCAfee
1-2 Weitere, je nach Region und Betrieb
(c) 2002 by NIDIS Verlag
Seite 9 von 10
Christof Niederöst
Error! Use the Home tab to apply Überschrift 1 to the text that
you want to appear here.
8
Index
(Hier fügen Sie den Index ein)
(c) 2002 by NIDIS Verlag
Seite 10 von 10
Herunterladen