Computerviren, die ständigen Begleiter der E-Mails.
©August 2002 Marko Rogge
Mit
diesem Bericht möchte ich allen Interessierten einen kleinen Einblick geben,
welche Viren es gibt, welche Verbreitung diese finden und wie schnell in der
heitigen Zeit ein Virus programmiert werden kann.
Bitte achten Sie darauf, dass Sie dieses Wissen nicht für kriminelle Handlungen
missbrauchen, da solche Handlungen unter Strafe stehen.
Zunächst zeige ich Ihnen die weitverbreitetsten Virenarten auf und werde
kurze Erklärungen dazu liefern was diese anstellen können.
Bootsektorviren:
Diese Art der Viren hat es in sich. Sie vermehren sich fast immer über
eine Diskette in dem Sie als Anwender eine Diskette mit Informationen eines
Kollegen bekommen. Diese Diskette ist aber mit einem Boot-Virus infiziert und
während Sie die Diskette in das Laufwerk schieben, schreibt sich der Virus
automatisch und unmerklich in den Bootsektor der Festplatte und wird somit beim
nächsten Einschalten des Computers geladen und kann seine zerstörerische
Wirkung entfalten. (Festplatte löschen, Systemdateien zerstören etc.)
Diese Art der Viren kommt aber fast gar nicht mehr vor, wenn dann nur noch sehr
selten.
Hybridviren: Diese Art der Viren können sowohl den Bootsektor infizieren
als auch Programmdateien zerstören.
Auch diese Form der Viren trifft man im Internet nur noch sehr selten an.
Killerviren: Sind eine recht gefährliche Mischung, da diese oftmals
einen Zähler beinhalten und erst nach "vorprogrammierten" Infektion
des Systems die restliche Zerstörung beginnen. Hierbei wird die FAT (Datei-
und Festplattenmanagement Windows) benutzt und umgeschrieben, sodass die Dateien
noch auf dem System liegen jedoch aber nicht mehr lesbar sind.
Makroviren: Diese Art ist sehr häufig in Office-Anwendungen von
Windows zu finden. Sie übertragen sich durch VBS Elemente und führen,
anstelle des Befehls "schreiben", den Befehl "formatieren"
aus.
Zeitbomben: Ist eine Art Virus, die sich wie einer der genannten Viren
in der Schadensfunktion verhält, jedoch aber an einem bestimmten Tag erst
aktiviert werden.
Viren Construktion Kit: Diese "Baukästen" sind gerade
in den letzten Wochen sehr attraktiv und interessant geworden, da es ein weiterer
Meilenstein in der Geschichte des Internet ist. Mit dem "Baukasten"
oder "Construction-Kit" kann jeder der über Englischkenntnisse
verfügt, einen Virus "basteln" und versenden kann und sich dabei
aussuchen kann, welche Schadensfunktionen ausgeführt werden sollen.
HOAX Mails: Was genau sind HOAX Mails und was sollen diese bezwecken?
Man versteht darunter auch den Begriff Malware der für schädliche
Programme und Scripte steht aber diese Meldungen nicht echt sind. Es gibt die
dort gemeldeten Viren und/oder Trojaner nicht. Sie werden lediglich mit dem
Zweck verbreitet um die Mailwege und E-Mail-Boxen zu verstopfen.
Eine Übersicht über aktuelle und alte HOAX
Meldungen finden Sie hier.(TU-Berlin)
Dies sind bei weitem nicht alle Viren die auftreten können und die bekannt
sind, aber so haben Sie einmal eine kleine Übersicht über die häufigsten
Virentypen, die auftreten können.
Neuerliche Vertreter sind ebenfalls Mischungen aus Viren und Trojanern, bei
dem der Trojaner angewiesen werden kann, nach ausspionieren des Opfers, die
Festplatte zu zerstören.
Hier einige Beispiele:
-
VBS_VBSWG.Z
- V32-W97M/Hlam.A
- VBS/NightFlight.A
- W97M/Apoc.A
- W97M/CoolDown.A
- Badtrans
- W32/Matcher
- W32/MTX
- W32.Hybris
- W32/Kriz
Ich
möchte Ihnen hier kurz ein Viren Kit vorstellen, dass eine sehr gute Übersicht
der Möglichkeiten bietet.
Was ist das gefährliche an den sogenannten Viren Construktion Kits, mit
denen man spielend leicht einen eigenen Virus herstellen kann um diesen in Umlauf
zu bringen?
Ein Beispiel hierfür wäre das Next Generation Virus Construktion
Kit von Snakebyte, kurz NGVCK genannt.
Hiermit lassen sich Viren selbst generieren, die aber bei diesem Kit nicht gleich
funktionstüchtig sind.
Beim NGVCK
sind Programmiererkentnisse erforderlich, um den entsprechenden Code dann als
Virus zu generieren und zu kompilieren.
Es ist möglich hier den Programmiercode zu lesen und diesen dann nach eigenem
belieben umzuschreiben.
NGVCK dient der Erforschung der Betriebssysteme, inwiefern Schadensroutinen
immer noch wirksam sind und welche weiteren möglich sind.
Hier sehen Sie NGVCK von Snakebyte mit einem Beispiel, wie gerade ein Wurm generiert
wird und welche Einstellungen vorgenommen werden können.
Die Ausgabe erfolgt jedoch nicht in einer direkten *.exe Datei, sondern hier
in eine *.asm Datei die in das Verzeichnis des Programmes abgelegt wird.
Wurde
der Wurm nun in die oben genannte *.asm Datei geschrieben kann man sich den
Source-Code genau ansehen und entsprechend weiter verarbeiten.
Ein Programmierer kann den Code entsprechend compilieren/assempilieren und erst
somit zu einem echten Virus machen.
Hier ein Auszug aus dem Testvirus in dem sehr deutlich erkennbar ist, welche
Schadensroutine der Wurm nehmen soll und welche Systeme betroffen sind, wenn
der Virus mit dem dann angegebenen Namen verschickt wird.
Wer
sich gerne in der Programmierung und dem Testen seines Computers ausprobieren
möchte, der kann das Programm kostenlos unter folgender Adresse downloaden:
http://www.kryptocrew.de/snakebyte.
In meinem Beispiel habe ich die Version 0.44 Beta verwendet, die aber derzeit
schon in der Version 0.45 Beta erhältlich ist.
Teilweise
ist es bereits erfolgreich geschehen wie uns Viren zeigten, die wohl keine große
Schadenswirkung bewirkten aber sich rasant ausgebreitet haben.
Ein Beispiel hierfür ist der Virus VBS.Kournikova.
Auch dieser VBS Virus ist mit einem sogenannten Construktion Kit fertig erstellt.
Dieses Kit was hierbei benutzt wurde heißt VBSWG - Visual Basic Script
Wurm Genrator.
Einfach generiert in ein VB-Script (Visual-Basic-Script) und an tausende E-Mailadressen
verteilt, erreichte dieser Schädling eine schnelle Ausbreitung.
Sie möchten sich weitergehend dazu informieren?
Ich kann Ihnen hierzu die Internetseite von Snakebyte empfehlen die ich oben
genannt habe.
Dort befinden sich weitere Texte zu Computerviren, die derzeit auch schon Einzug
in die Linux/Unix Welt halten.
Sie vermuten eine Virusdatei auf Ihrem Computer?
Nutzen Sie den Onlinescanner
der Firma Ikarus!
Ein ebenfalls sehr guter Onlinescanner
ist Houscall von Trend Micro.
Bei Messagelabs
erhalten Sie eine Übersicht der aktivsten Viren und Würmer!
Viruslisten:
Ikarus
Virenlexikon
TrendMicro
McAfee
Avert
Hier eine kleine Auflistung von Programmen, die Sie vor Viren schützen:
Norton
Antivus (Symantec) http://www.symantec.de
Trend Micro Anti-Virus, http://www.trendmicro.de
McAfee, http://www.mcafee.de
F-Secure, http://www.datafellows.com
Kaspersky Anti Virus, http://www.kaspersky.com
BitDefender, http://www.bitdefender.com
(kostenlose Removal-Tools)
Sophos, http://www.sophos.com
McAfee ASaP, http://www.mcafeeasap.com
(Serverbasierende Lösung)
Panda Anti-Virus, http://www.pandasoftware.com
Mein Danke geht an Snakebyte & xaitax
Dieser
Bericht ist in guter Absicht und mühsamer Arbeit erstellt worden, daher
möchte ich Sie bitten keine Anleitung und/oder andere Texte frei zu kopieren.
Unter Angabe des Autors und der URL, sowie einer Benachrichtigung per E-Mail
ist eine weitere Veröffentlichung jederzeit möglich.
Danke, Ihr Marko Rogge