Viren, Würmer und Trojaner
Transcrição
Viren, Würmer und Trojaner
Viren, Würmer und Trojaner Überleben im Schädlingsdschungel, 1. Teil. Thomas Hildmann [email protected] FSP-PV/PRZ TU Berlin i.A. der TU Berlin Weiterbildung – p.1/24 Thomas Hildmann Wissenschaftlicher Mitarbeiter am FSP-PV/PRZ Seit 6 Jahren tätig im Bereich IT-Sicherheit Spezialgebiete: Rollenbasierte Zugriffskontrolle Sicherheitskonzepte Alternative Betriebssysteme i.A. der TU Berlin Weiterbildung – p.2/24 Vorstellungsrunde Name Tätigkeit / Arbeitsbereich Grund für die Kursteilnahme Vorkenntnisse gewünschte Inhalte i.A. der TU Berlin Weiterbildung – p.3/24 Aufbau des Kurses Vorstellen, Überblick, Was sind Viren und Würmer?, Statistiken, Beispiele, Gegenmaßnahmen, regelmäßige Tätigkeiten 1. Termin: Trojaner, Hoaxes, Phishing, Kettenbriefe, Frauts, Qualifikation und Motivation von Autoren, Virenwächter, Was tun nach Virenbefall? 2. Termin: Übungen, Nutzung von Boot-CDs, Zum Thema Trusted Computing 3. Termin: i.A. der TU Berlin Weiterbildung – p.4/24 Wissen über Malware Lassen Sie uns kurz Stichpunkte zusammentragen, was über das Thema Viren, Würmer und Trojaner bereits bekannt ist. i.A. der TU Berlin Weiterbildung – p.5/24 Inhalt die Anatomie eines Virus die Anatomie eines Wurms ein paar Beispiele für Viren und Würmer (Top 20) Wo gibt es Informationen über Viren? Regeln gegen Virenbefall Wie erkenne ich Virenbefall? i.A. der TU Berlin Weiterbildung – p.6/24 Vorab klargestellt... Mein Standpunkt zu Viren: Wissenschaftliches Interesse an Malware Interesse an Programmierdetails Faszination des Ideenreichtums aber... Computermanipulation ist zurecht strafbar Personen, die Viren in Umlauf bringen sind Kriminelle i.A. der TU Berlin Weiterbildung – p.7/24 Die Anatomie eines Virus Vermehrungsteil: Erkennungsteil: Verhindert Mehrfachinfektionen Beliebige Schadfunktionen Schadensteil: Bedingungsteil: Tarnungsteil: Verbreitung des Virus Beeinflusst Vermehrung und Schaden Verstecken des Virus auf dem System Unterarten: Bootvirus Linkvirus Makrovirus i.A. der TU Berlin Weiterbildung – p.8/24 Die Anatomie eines Wurms Würmer sind den Computerviren konzeptionell sehr ähnlich. Die Abgrenzung besteht darin, dass ein Virus versucht, Dateien auf einem Computersystem zu infizieren, während ein Wurm versucht, eine Zahl von Computern in einem Netzwerk zu infizieren. Außerdem benötigt ein Virus ein Wirtsprogramm, welches es infiziert. Wird dieses Programm ausgeführt, wird gleichzeitig auch das Virus ausgeführt. Bei einem Wurm handelt es sich dagegen um ein eigenständiges Programm. Quelle: Wikipedia:Computerwurm i.A. der TU Berlin Weiterbildung – p.9/24 Die Bedeutung von Malware Beispiele für entstehenden Schaden: Ressourcenverbrauch (Speicher, Netzwerk, ...) Denial-of-Service (Betriebsausfall) Manipulation oder Löschung von Daten Ausspähen von Informationen Vertuschung/Vorbereitung einer anderen Straftat Zeitaufwand für Entfernung von Malware/Neuinstallation ... i.A. der TU Berlin Weiterbildung – p.10/24 Top 10 der Viren und Würmer Quelle: Messagelabs Virenstatistik Werte in Millionen Registrierungen seit Erstellen der Virensignatur. i.A. der TU Berlin Weiterbildung – p.11/24 Top 10 der letzten drei Jahre Top ten viruses reported to Sophos January to June 2002 Top ten viruses reported to Sophos January to June 2003 W32/Klez-H 29.4% W32/Bugbear-B 11.6% W32/Badtrans-B 23.5% W32/Sobig-C 9.7% W32/ElKern-C 6.3% W32/Klez-H 8.4% W32/Magistr-B 4.0% W32/Sobig-B 5.3% W32/MyParty-A 3.7% W32/Sobig-A 3.3% W32/Klez-E 3.0% W32/Avril-B 3.2% W32/Sircam-A 2.8% W32/Bugbear-A 2.5% W32/Magistr-A 2.0% W32/Avril-A 2.3% W32/FBound-C 1.8% W32/Fizzer-A 2.3% W32/Nimda-A 1.1% W32/Yaha-E 1.8% Others 22.4% Others 49.6% Source: Sophos Plc www.sophos.com Source: Sophos Plc www.sophos.com Top ten viruses reported to Sophos January to June 2004 W32/Sasser 26.1% W32/Netsky-P 21.4% W32/Netsky-B 11.0% W32/Netsky-D 6.8% W32/MyDoom-A 4.4% W32/Zafi-B 4.0% W32/Netsky-Z 3.1% W32/Netsky-C 2.4% W32/Sober-C 1.5% W32/Bagle-A 1.2% Others 18.1% Source: Sophos Plc www.sophos.com i.A. der TU Berlin Weiterbildung – p.12/24 Malwarebeispiele 1 Lirva kennt unzählige Verbreitungswege (E-Mail, IRC, ICQ, KaZaA, Laufwerkfreigaben und eine alte IE-Lücke) und schießt diverse Schutzprogramme ab. Viren schießen Schutzsoftware ab 08.01.2002 SQLslammer zu diesem Zeitpunkt der kleinste Internetwurm. Seine Auswirkungen sind enorm. Trend Micro warnt vor Hackerangriff auf den MS-SQL Port 21.05.2002 Klez.H versendet sich über das Adressbuch, löscht Virensignaturen und versendet persönliche Dokumente. Klez.H überholt Sircam.A in der Virenstatistik 28.05.2002 In die Open Source-Implementierung von SSH wird ein trojanisches Pferd eingeschleust. Trojanisches Pferd in OpenSSH 01.08.2002 i.A. der TU Berlin Weiterbildung – p.13/24 Malwarebeispiele 2 Linux.Slapper.Worm befällt verschiedene Linux-Systeme. Apache-Wurm nutzt OpenSSL-Loch 14.09.2002 Bugbear benutzt eine alte Sicherheitslücke in Outlook und muß nicht gestartet werden. Er öffnet eine Hintertür und spioniert persönliche Daten aus. Neuer Windows-Wurm spioniert Daten aus 01.10.2002 Das erste Mal wird AlertCon 4 ausgerufen. SQLSlammer nutzt eine Sicherheitslücke aus, die 6 Monate zuvor geschlossen wurde. SQLSlammer – winziger Wurm erzeugt riesigen Internet-Traffic 25.01.2003 i.A. der TU Berlin Weiterbildung – p.14/24 Malwarebeispiele 3 Fehlalarm bei Besuch der Webseite Freenet.de. Virenscanner löste Fehlalarm beim Besuch von Freenet aus 05.04.2004 NetSky.V verbreitet sich über eine Sicherheitslücke im Internet Explorer und kommt ohne E-Mailversand aus. Auch neuer NetSky-Wurm verzichtet auf Mail-Anhang 16.04.2004 Zu Phatbot wird der Quellcode ohne Willen der Programmierer offengelegt. Dies ermöglicht es vielen Benutzern mit Programmierkenntnissen, ihre eigenen Varianten zu schaffen. Superwurm mit öffentlichem Quelltext 19.04.2004 i.A. der TU Berlin Weiterbildung – p.15/24 Malwarebeispiele 4 NetSky.X gibt es jetzt auch in Schwedisch, Finnisch, Polnisch, Norwegisch, Portugisisch, Italienisch und Deutsch. Nun findet er auch in Deutschland große Verbreitung. Meet NetSky-X, the Babel Fish worm 20.04.2004 Sasser enthält einen Programmierfehler, über den fremder Code auf infizierten Rechnern ausgeführt werden kann. Sicherheitsloch im Sasser-Wurm 10.05.2004 Sober.H verbreitet im Namen zufälliger, gefälschter Absender rechtsradikale E-Mails. BSI: "Absender" der rechtsradikalen Spam-Mails sind die eigen 15.06.2004 i.A. der TU Berlin Weiterbildung – p.16/24 Bilder von Viren i.A. der TU Berlin Weiterbildung – p.17/24 Casino i.A. der TU Berlin Weiterbildung – p.18/24 Code 9811 i.A. der TU Berlin Weiterbildung – p.19/24 Phantom 1 i.A. der TU Berlin Weiterbildung – p.20/24 WM97-fool-A3 i.A. der TU Berlin Weiterbildung – p.21/24 Maßnahmen gegen Viren und Würmer wöchentliche bzw. tägliche Sicherheitskopien der Daten Anlegen einer Notfalldiskette Nutzung einer Antiviren-Software mit aktueller Datenbank Öffnen von Dateien aus dem Internet nur aus sicherer Quelle Prüfung von Dateien auch bei Originalsoftware BIOS-Bootreihenfolge “C, ...” Keine Nutzung des Internet als “Administrator” Informieren über Sicherheitslücken und aktuelle Viren Nutzung eines sicheren Browsers/E-Mailclients i.A. der TU Berlin Weiterbildung – p.22/24 Informationen zu Viren? http://www.tu-berlin.de/www/software/avprev.shtml http://de.wikipedia.org/wiki/Computervirus http://www.bsi-fuer-buerger.de/viren/index.htm http://www.bsi.de/av/virbro/index.htm http://www.heise.de/security/dienste/antivirus/ http://agn-www.informatik.uni-hamburg.de/vtc/ i.A. der TU Berlin Weiterbildung – p.23/24 Wie erkenne ich Virenbefall? 1. Meldung eines Antivirenprogramms 2. Meldung durch den Virus selbst 3. Erkennung der Verbreitungssymptome 4. Beobachtung der Schadfunktion 5. Benachrichtigung durch dritte bei Verbreitung 6. über Hintertüren o.ä. i.A. der TU Berlin Weiterbildung – p.24/24