Malware ohne Ende

PC-WELT
Malware ohne Ende
Malware ohne Ende
Schädlinge und Schadensprofile
Eine Vielzahl ganz unterschiedlicher Schädlinge bedroht Ihren
PC. Lesen Sie alles über Dateiviren, Bootviren, Makroviren,
Trojaner, Backdoors, Würmer und andere Schädlinge.
von Wolfgang Nefzger
Dass es Computerviren gibt und dass diese gefährlich
sind, weiß jeder PC-Benutzer. Virus ist dabei der
Oberbegriff für eine Vielzahl von Schädlingen, die
ansonsten
wenig
gemeinsam
haben.
Bootviren
beispielsweise funktionieren ganz anders als Dateiviren,
und Makroviren gehen ebenfalls einen eigenen Weg.
einer Diskette. Da hilft nur noch der Austausch des
Bios-Speicherchips.
Darüber hinaus gibt es noch viele weitere Schädlinge wie
Trojanische Pferde - kurz: Trojaner -, Würmer, Backdoors
oder Massenmailer. Als Fachbegriff hat sich dafür
Malware eingebürgert, was so viel wie "böses Programm"
heißt.
Mit einem Bootvirus fing alles an: 1986 verbreitete sich
Pakistani Brain innerhalb eines Jahres rund um die Welt.
Und das, obwohl der Virus nur Disketten und keine
Festplatten infizierte. Bootviren funktionieren ähnlich wie
ein Betriebssystem: Beim PC-Start führt das eingebaute
Bios-Programm (Basic Input Output System) ein kleines
Startprogramm von der Festplatte aus
Alle diese Schädlinge verbreiten sich auf ganz
unterschiedlichen Wegen, haben individuelle Fähigkeiten
und richten unterschiedliche Schäden an. Sich damit zu
befassen lohnt sich. Denn wenn Sie wissen, womit Sie es
zu tun haben, fällt es Ihnen leichter, Schädlinge zu
erkennen und abzuwehren.
Was Malware alles kann
Malware geht jeden PC-Benutzer etwas an. Das Risiko
einer Infektion hat jeder Anwender, und im Falle eines
Falles kann der Schaden beträchtlich sein. Damit Sie sich
ein Bild von den möglichen Auswirkungen machen
können, stellen wir Ihnen exemplarisch drei typische
Viren und ihre Schadensroutinen vor.
Der Windows-Wurm W32/Badtrans greift sich in
unregelmäßigen Abständen ein nach dem Zufallsprinzip
ausgewähltes Word-Dokument und schickt es per Mail an
einen Empfänger aus Ihrem Outlook-Adressbuch. Dass
das für Sie als Absender ziemlich peinlich werden kann,
dürfte klar sein .Gerade im Firmennetzwerk mit einer
Standleitung ins Internet ist dieser Wurm eine ernste
Gefahr, denn hier bemerkt der Anwender den
Massenmailversand oft überhaupt nicht.
Stellen Sie sich vor, Sie schalten Ihren PC ein - und er
bootet nicht. Ursache dafür könnte ein alter Bootvirus wie
Parity. B sein. Dieser Bootvirustyp kann jahrelang
unentdeckt auf einer Diskette schlummern. Und dann
brauchen Sie einen alten Text von der Diskette und
vergessen, diese danach aus dem Laufwerk zu nehmen.
Beim nächsten Start sucht der PC auf der Diskette ein
Betriebssystem, findet aber stattdessen den Virus und führt
ihn aus. Je nach Bootvirus startet anschließend Ihr
Betriebssystem nicht mehr von der Festplatte.
Noch unangenehmer kann der Dateivirus CIH sein: Er
überschreibt Teile des Flash-Bios des PCs. Praktisch jede
moderne Hauptplatine ist mit einem Flash-Bios
ausgestattet. Per Software lässt sie sich mit einer neuen
Bios-Version updaten.
Da jeder Hersteller das Flash-Bios mit einem eigenen
Verfahren beschreibt, entwickelt der CIH-Virus zwar nur
bei wenigen Hauptplatinenmodellen seine Wirkung. Doch
wenn er tatsächlich in der Lage ist, das Bios zu
beschädigen, sind die Folgen umso gravierender: Der
Rechner startet nämlich gar nicht mehr - auch nicht von
© PC-WELT 2003
Angriff eines Bootvirus: In den
Systembereichen versteckt
Es ist im so genannten Master Boot Record (MBR) ganz
am Anfang der Festplatte gespeichert. Dieses
Startprogramm ruft dann den Startcode von Windows oder
eines anderen Betriebssystems im Bootsektor der aktiven
Partition auf. Auch jede Diskette hat einen Bootsektor.
Bootviren ersetzen den Startcode im MBR und/oder im
Bootsektor der Partition oder Diskette. So wird der
Bootvirus aktiv, bevor irgendein anderes Programm ihn
daran hindern kann. Dann kann er im Hintergrund arbeiten
und
beispielsweise
jede
eingelegte
Diskette
infizieren.Anschließend aktiviert er den normalen
Bootcode des Betriebssystems - der Anwender merkt
davon nichts. Andere Bootviren blockieren den
Startvorgang des Betriebssystems.
Der Infektionsweg für einen Bootvirus ist klar: Beim
Einschalten des Rechners liegt eine Diskette im Laufwerk,
und der PC versucht, davon zu booten. Weil ein Bootvirus
keine Datei zur Verbreitung benötigt, kann auch eine dem
Anschein nach leere Diskette einen Bootvirus enthalten.
Weil Bootviren so auf scheinbar harmlosen Disketten
lange Zeit unbemerkt bleiben, gehören sie zu den
hartnäckigsten Viren
Allerdings taucht heutzutage wegen der geringen Nutzung
von Disketten kein Bootvirus mehr in den Top-Listen zur
Virenverbreitung auf. Zudem sind neue Bootviren selten.
Dateivirus: Schaden durch
manipulierte Programme
Dateiviren arbeiten anders: Sobald der Virus gestartet
wird, manipuliert er eine normale Programmdatei. Er
kopiert seinen eigenen Viruscode in den Programmcode
hinein. Dabei lassen die allermeisten Dateiviren das
Originalprogramm unbeschadet. Sie hängen sich
beispielsweise hinten an die EXE-Programmdatei an und
vergrößern diese dadurch. Oder der Virus sucht gezielt
nach ungenutzten Stellen innerhalb der Programmdatei
und kopiert sich dorthin - so arbeitet etwa der CIHVirus.
Es gibt allerdings auch vereinzelt Dateiviren, die die
Programmdatei bei der Infektion unwiderruflich zerstören.
1
PC-WELT
Nachdem sich der Dateivirus W32/Toal.A ("BinLaden-Virus") im
Anschluss an die Aktivierung per Mail an neue Opfer verschickt
hat, zeigt er ein buntes Schriften-Feuerwerk an
Malware ohne Ende
Würmer wie W32/Badtrans kommen bevorzugt als E-Mail mit
einem Attachment
Für Programmdateien gibt's unter Windows eine große
Zahl von Dateinamenserweiterungen. Bekannt sind COM,
DLL und EXE, aber auch hinter CPL, DRV, MSC, OCX,
SCR, SYS und VXD verbirgt sich ausführbarer
Programmcode.
Wenn die Empfänger den Anhang per Doppelklick in
Word öffnen, nistet sich Melissa in ihrem System ein.
Dass die Mail von einem bekannten Absender stammt,
verführt so manchen Empfänger zu einem unbedachten
Doppelklick.
Wenn Sie das infizierte Programm starten, aktiviert diese
Aktion zunächst den Virus. Er kann jetzt weitere
Programme infizieren, seine Schadensfunktion ausüben
oder für spätere Aktionen im Hintergrund aktiv bleiben.
Schäden durch Makroviren
Im Hintergrund arbeiten zum Beispiel Dateiviren wie
W32/Magistr, die sich selbst per Mail an weitere arglose
Anwender versenden. Nur Bruchteile von Sekunden später
startet das eigentliche Programm. So ist von der
Virusinfektion zunächst nichts zu bemerken. Die Infektion
weiterer PCs und Programmdateien erfolgt in der Regel
durch die Weitergabe der infizierten Programmdatei, per
Mail oder über Freigaben im lokalen Netzwerk.
Makrovirus: Huckepack vom
Office-Dokument eingeschleppt
Das Office-Paket von Microsoft verfügt über eine
ausgefeilte Makrosprache mit mächtigen Befehlen: VBA,
Visual Basic für Applikationen. Mit diesen Befehlen kann
ein Makro zum Beispiel Dateien und andere
Office-Dokumente manipulieren, Windows-Programme
fernsteuern - und auch Viruscode ausführen.
Der Knackpunkt bei MS Office: Die Makros sind direkt
im Dokument gespeichert. Wenn Sie ein Word-, Exceloder Powerpoint- Dokument weitergeben, sind die Makros
gegebenenfalls mit dabei. Und es gibt eine
Autostart-Funktion: Sobald Sie ein Dokument mit einem
Makro öffnen, wird das darin enthaltene MakroProgramm aktiv.
Eine Makrosprache ist nicht nur in MS Office, sondern
auch bei Lotus Smartsuite, Corel Draw und vielen anderen
Programmen integriert. Und es gibt tatsächlich einzelne
Makroviren, die auf diese Software zugeschnitten sind.
Allerdings haben sie sich nie stark verbreitet. Zum einen
nutzen nicht so viele Anwender diese Programme, zum
anderen ist die Weitergabe nicht ganz so einfach wie bei
Microsoft Office.
Verbreitung von Makroviren per Mail
Besondere Brisanz haben Makroviren, die sich selbständig
über Mail weiterverbreiten. Das bekannteste Beispiel
dafür ist Melissa: Ist auf dem befallenen PC als
Mailprogramm Outlook installiert, so sucht sich der Virus
aus der Outlook-Datenbank 50 Empfänger und schickt
ihnen eine Mail mit dem Virus als Anhang.
© PC-WELT 2003
Makroviren können beträchtlichen Schaden anrichten.
Denken Sie beispielsweise an eine umfangreiche
Excel-Tabelle mit der Jahresbilanz einer Firma. Ein Virus
könnte hier einige Werte gezielt manipulieren. Oder in
einem längeren Word-Dokument, beispielsweise einer
Diplomarbeit, werden plötzlich Absätze umgestellt und
Wörter gelöscht. Ohne nicht infizierte Sicherungskopien
müssen Sie für die Rekonstruktion der Dokumente viel
Zeit investieren.
Im Jahr 2003 spielen Makroviren für Office nur noch eine
untergeordnete Rolle, denn Virenschutzprogramme fangen
die meisten dieser Schädlinge ab. In den Top-Listen zur
Virenverbreitung kommen sie nur noch vereinzelt auf den
hinteren Rängen vor. Trotzdem sind immer noch viele
infizierte Office-Dokumente unterwegs, gerade mit den
älteren und weit verbreiteten Makroviren für Office 97,
die auch neuere Office-Versionen befallen.
Würmer: Windows als Ziel für
Wurmattacken
Seit 1999 treten unaufhaltsam die so genannten Würmer in
den Vordergrund. In den aktuellen Top-Listen zur
Virenverbreitung besetzen sie etwa zwei Drittel der Plätze
und sind für den Großteil der Infektionen verantwortlich.
Bekannte Vertreter sind W32/Bugbear, W32/Klez,
W32/Opaserv und W32/Hybris
Ein Wurm infiziert nicht wahllos Dateien oder
Bootsektoren, sondern manipuliert das attackierte
Betriebssystem gezielt an einer Stelle. Dann versucht der
Wurm, auf andere PCs im Netzwerk zu gelangen oder sich
per Mail zu verbreiten. Etliche Würmer nutzen auch
Chat-Software wie Mirc und in letzter Zeit Peer-toPeer-Tauschprogramme wie Kazaa, um sich zu verbreiten.
Für den Erfolg der Würmer sind vor allem
Sicherheitslücken im Internet Explorer verantwortlich.
Denn die Mailprogramme Outlook und Outlook Express
verwenden den Internet Explorer zur Anzeige von
HTML-formatierten Mails. Eine entsprechend präparierte
Mail kann Programmcode ausführen, sobald sie von
Outlook angezeigt wird. Mit anderen Worten: Der Wurm
verbreitet sich automatisch, der Anwender muss nicht
einmal mit einem Doppelklick dazu beigetragen haben.
2
PC-WELT
Malware ohne Ende
Trojaner und Windows: Keine
Heimlichkeiten
Während sich Viren und Würmer nach Möglichkeit
verstecken und unbemerkt bleiben wollen, treten
Trojanische Pferde offen auf. Der Trojaner gibt sich als
Bildschirmschoner, Passwort-Verwaltungs- Tool oder ein
anderes nützliches Utility aus. Und diese Funktion führt
das Programm gelegentlich sogar mehr oder weniger gut
aus.
Meist geht es aber nur darum, den Empfänger dazu zu
verleiten, das Programm zu starten. Dann führt der
Trojaner seine Schadensfunktion sofort aus: Er löscht die
Festplatte, stiehlt Passwörter und verschickt sie per Mail
oder installiert eine so genannte Backdoor - dazu gleich
mehr.
Der Übergang zwischen Trojanern, Würmern und
Backdoors ist fließend. Typisch für den Trojaner ist
allerdings, dass er nicht versucht, irgendwelche Dateien
oder Systembereiche zu infizieren oder Systemdateien zu
ändern. Nach dem ersten Start läuft unverzüglich die
Schadensroutine ab.
Backdoors: Ohne den Anwender
alles unter Kontrolle
Eine spezielle Sorte von Trojanern bringt dem Angreifer
tatsächlich Nutzen: Backdoors. Doch anders als
Fernwartungsprogramme wie beispielsweise Symantec
Norton PC Anywhere, Laplink 11 Gold oder die Freeware
VNC bieten Backdoors Funktionen zur Manipulation von
Dateien und Einstellungen auf dem infizierten PC ohne
Wissen des Anwenders.
Backdoors
unterscheiden
sich
von
seriösen
Fernwartungs-Tools
bei
den
angebotenen
Remote-Control-Funktionen und vor allem hinsichtlich
der (nicht vorhandenen) Sicherheitsfunktionen.
Bekannt sind mittlerweile betagte Backdoors wie Back
Orifice, Sub 7 oder auch Netbus, die aber nur die populäre
Spitze des Eisbergs sind. Im Internet sind Hunderte
verschiedener Backdoor-Tools im Umlauf, die teilweise
sehr
umfangreiche
Datenübertragungsund
Fernzugriffsfunktionen bieten.
So funktionieren Backdoors I
Damit eine Backdoor funktioniert, muss auf dem PC des
Opfers ein Server-Programm - die eigentliche Backdoor installiert sein. Es arbeitet unbemerkt im Hintergrund und
klinkt sich wie ein Wurm in die Autostart-Funktion von
Windows ein. Damit wird der Server bei jedem
Systemstart aktiv. Wenn eine Internet-Verbindung besteht,
"horcht" der Server, ob an einem bestimmten Kanal - Port
genannt - ein Aktivierungssignal eintrifft.
Die Backdoor Theef hat ein eigenes Tool zur Anpassung des
Server-Moduls.
Wie genau der Server reagiert, mit welchen Methoden er
sich in Windows einklinkt und viele weitere Details lassen
sich bei den meisten Backdoors vorab sehr umfangreich
konfigurieren. So entsteht ein maßgeschneidertes
Server-Modul mit individuellem Namen. Manche
Backdoor-Server
können
sogar
nötigenfalls
Antiviren-Software und Desktop-Firewalls deaktivieren.
So funktionieren Backdoors II Infektion
Wie gelangt nun das Server-Programm auf den PC des
Opfers? Im einfachsten Fall hat der Angreifer persönlich
Zugriff auf den Rechner der Zielperson, zum Beispiel in
einer Firma auf das Gerät eines Kollegen. Derartige Fälle
sind nicht so selten, wie man glaubt.
Ansonsten funktioniert die Verbreitung wie bei anderen
Trojanern. Das Programm wird zum Beispiel massenweise
per Mail an beliebige Adressen verschickt. Die Mail preist
die angehängte Datei als brandneuen Spiele- Crack,
nützliches
Tool,
aktuelles
WindowsUpdate,
Erotik-Präsentation oder Ähnliches an. Beliebte
Verbreitungswege sind auch einschlägige Newsgroups,
Peerto- Peer-Tauschbörsen oder Downloads auf dubiosen
Web-Seiten.
In jedem Fall muss der Empfänger die Programmdatei
explizit starten. Dann nistet sich die Backdoor im
Betriebssystem ein und wird bei jedem Neustart
automatisch aktiv. Damit der Anwender die Backdoor
nicht als solche enttarnt, zeigen die meisten Server dann
zur Tarnung eine falsche Fehlermeldung und beenden sich
scheinbar sofort wieder. Bei manchen Backdoors kann der
Angreifer sogar detailliert einstellen, welcher Fehler und
welche Meldung angezeigt werden.
So funktionieren Backdoors III IP-Scanner
Das Aktivierungssignal für den Server sendet das
Client-Programm von einem anderen PC aus via Internet.
Dazu muss der Angreifer die IP-Adresse des Opfers
kennen.
Weil diese zunächst meist unbekannt ist, verfügen die
Backdoor-Clients über integrierte IP-Scanner. Der
Angreifer gibt einen Adressbereich an, beispielsweise
224.10.0.0 bis 224.10.255.255. Der Scanner schickt nun
an jede Adresse und den passenden Port das
Aktivierungssignal für den Server und wartet auf eine
© PC-WELT 2003
3
PC-WELT
Antwort.
Wenn Sie eine Personal Firewall nutzen - und das sollten
Sie bei einem Einzelplatz- PC unbedingt tun -, sind Ihnen
sicher schon merkwürdige Einträge im Protokoll
aufgefallen: Unbekannte Adressen schicken mehrmals
hintereinander Datenpakete an Ihren PC. Die Firewall hat
diese Datenpakete geblockt und keine Antwort gesendet.
Die Norton Personal Firewall hat mehrere Anfragen des
IP-Scanners von Sub Seven blockiert. Ohne diesen Schutz
könnten Angreifer den Desktop eines infizierten Rechners
genau beobachten
Hier hat jemand versucht, auf Ihrem PC eine Backdoor zu
finden. Es sind meist mehrere Versuche registriert, weil
der
Angreifer
verschiedene
Ports
zur
Verbindungsaufnahme ausprobiert hat, die typischerweise
von bekannten Backdoors benutzt werden.
Manche Backdoors bieten dem Aggressor eine bequeme
Alternative
zum
wahllosen
Scannen
von
IP-Adressbereichen. Sobald der PC des Opfers online
geht, ruft der Backdoor-Server ein CGI-Script auf einem
vom Angreifer einstellbaren Webserver auf. Dieses Script
ermittelt die aktuelle IP-Adresse des Opfers und sendet
diese beispielsweise per Mail an den Angreifer. Der muss
zur Verbindungsaufnahme dann nur noch die vier Zahlen
der IP-Adresse in das Client-Programm kopieren.
So funktionieren Backdoors IV Client-Programm
Wenn der IP-Scanner eine Adresse gefunden hat, unter der
sich ein Server meldet, baut der Client die Verbindung
auf. Ab jetzt hat der Angreifer den PC seines Opfers
komplett unter Kontrolle.
Malware ohne Ende
möglichen Kommandos setzt eigentlich nur die Fantasie
der Programmierer Grenzen.
Ein Bespiel: Backdoor Bionet 4.0
Exemplarisch sei im Folgenden auf die Backdoor Bionet
4.0 näher eingegangen. Der Client hat eine klar
strukturierte Bedienerführung und arbeitet mit einer festen
Fenstergröße. Unter der Kategorie "Server" konfiguriert
der Angreifer den Server auf dem anderen PC, sogar ein
Online- Update der Server-Komponenten ist vorgesehen.
Außerdem darf der Angreifer beliebige Programme von
einer Web- Adresse auf den Opfer-PC herunterladen und
installieren.
Die Rubrik "Manager" ist das Herzstück von Bionet. Mit
dem "File Manager" greift der Hacker auf die Festplatte
des Opfers zu und erzeugt oder löscht Dateien und
Verzeichnisse. Auch ein Dateitransfer vom und zum
Client-PC ist kein Problem. Damit lassen sich
beispielsweise Word-Dateien laden.
Der "Window Manager" zeigt, welche Fenster auf dem
Opfer-PC gerade geöffnet sind, unter "Tasks" finden sich
die zugehörigen Programme. Über "Clipboard" kopiert der
Angreifer den Inhalt der Zwischenablage. Der "Remote
Registry Manager" entspricht dem Registrierungs- Editor
von Windows und erlaubt die Änderung von
Registry-Einträgen.
Backdoor Bionet 4.0 Multimedia-Funktionen an Bord
Über die Rubrik "Chat" eröffnet der Hacker bei Bionet
eine IRC-Sitzung vom Opfer-PC aus. Damit könnte ein
Angreifer im Namen des Opfers illegale Gespräche
führen. Ist am angegriffenen PC eine Webcam
angeschlossen, kann der Aggressor unter "Devices" darauf
zugreifen. Natürlich lässt sich damit auch ein Foto des
Desktops schießen, so dass genau zu sehen ist, was das
Opfer gerade macht.
Noch heimtückischer ist sicher der "Key Logger". Damit
sieht der Angreifer alle Tastatureingaben des Opfers, zum
Beispiel Passwörter. Da der Logger direkt die
Tastendrücke am Gerätetreiber ermittelt, hilft dem
Angriffsopfer hier auch keine Verschlüsselung.
Auch wenn das Opfer offline ist, geht die Überwachung
weiter: Bionet speichert die Tastatureingaben in einer
Datei. Beim nächsten Kontakt mit dem Client holt sich der
Angreifer die aufgezeichneten Tastatureingaben ab.
Backdoor Bionet 4.0 - weitere
Spionagefunktionen
In Bionet sind jedoch noch weitere Spionagefunktionen
integriert. So hat der Angreifer Zugriff auf die
Einstellungen des Internet Explorers. Er sieht die
komplette Favoritenliste und sogar den Verlauf, also die
zuletzt besuchten Seiten, deren Adressen der Internet
Explorer automatisch speichert, wenn Sie im Internet
surfen.
Der Client von Bionet zeigt, was auf dem Bildschirm des
befallenen PCs zu sehen ist.
Der Client ist ein normales Windows- Programm mit
Hauptfenster, in dem der Angreifer schön übersichtlich
eine Reihe von Kommandos aufrufen kann. Der Client
sendet diese Befehle anschließend an den Server. Bei den
© PC-WELT 2003
Unter "System" gewährt Bionet Zugriff auf einige höchst
interessante Details: So zeigt das Tool Passwörter von
Windows 95/98/ME ebenso an wie beispielsweise das
Passwort der AOL-Zugangs-Software oder des
Mailprogramms. Auch die Konfiguration von Einträgen
im DFÜ-Netzwerk bleibt nicht verborgen.
In den Menüs von Bionet stecken noch viele weitere
Funktionen. Der Angreifer kann zum Beispiel den PC des
Opfers abstürzen lassen oder als FTP-Server
4
PC-WELT
missbrauchen, es lassen sich Seiten ausdrucken und über
den Lautsprecher Texte vorlesen, und die CD-Lade kann
geöffnet und geschlossen werden.
Bedrohung durch Backdoors steigt
Backdoors dürften in Zukunft zu einer immer größeren
Bedrohung werden. Denn die hohe Geschwindigkeit von
DSL und anderen schnellen Internet-Zugängen macht es
Backdoors leicht, sich unbemerkt selbständig wie Würmer
zu verbreiten.
Bei einer verhältnismäßig langsamen Modem- oder
ISDN-Verbindung fällt eine Backdoor mit 1 oder 2 MB
Dateigröße zu leicht auf. Und möglicherweise nutzen
Angreifer die Sicherheitslücken des Internet Explorers in
Zukunft dahingehend aus, dass die Backdoor den PC des
Opfers automatisch infiziert.
W32 & Co.: Was der Name über
einen Virus verrät
Malware ohne Ende
kennzeichnet besonders gefährliche Massenmailer. Sie
versuchen, innerhalb kurzer Zeit möglichst viele infizierte
Nachrichten abzuschicken.
So ganz klappt es mit der einheitlichen Namensvergabe
allerdings nicht: Manche Hersteller nutzen Plattformkürzel
wie "Troj" und "Backdoor" für Trojaner oder "I-Worm"
für
Würmer.
Bekannte
Virendatenbanken
wiewww.sophos.deoderwww.percomp.deenthalten daher
meist mehrere Alias-Namen und Querverweise. W32 &
Co.:Was der Name über einen Virus verrät
(Un-)schädlich: Hoaxes kursieren via
Mail
Aus technischer Sicht ist ein Hoax alles andere als ein
Virus, er ist nicht einmal ein Programm. Die beste
deutsche Übersetzung von "Hoax" ist wohl "Ente": Ein
Hoax ist eine gezielte Falschmeldung per Mail über einen
Virus oder ein anderes Schadensprogramm.
Ein Name wie "W32/Sircam.A-mm" verrät eine ganze
Menge über den jeweiligen Schädling. Denn die Hersteller
von Antiviren-Software haben sich auf einen halbwegs
einheitlichen
Standard
für
die
Vergabe
von
Schädlingsnamen geeinigt
Am Anfang des Namens steht die Kennzeichnung der
Zielplattform, also der Dateien oder Betriebssysteme, die
der Schädling infizieren kann. Am häufigsten ist W32 zu
finden, es weist auf 32-Bit-Windows hin. Das umfasst alle
Win-Versionen von 95 bis zu XP. Die Tabelle führt die
wichtigsten Kürzel auf.
Meist wird der Empfänger aufgefordert, die Mail an alle
Bekannten als Warnung weiterzuleiten. Und genau das ist
die Schadenswirkung eines Hoax: Er kostet Ihre
Arbeitszeit.
Ein Hoax verbreitet sich rasend schnell, denn viele
unbedarfte Anwender lassen sich verunsichern und senden
die Mail an Kollegen und Freunde weiter. Diese verlieren
einfach durch das Lesen ein bisschen Arbeitszeit. Noch
teurer wird es, wenn sich Anwender beim PC-Support
ihrer Firma melden. Dann muss ein Techniker individuell
reagieren und aufklären - das kostet Zeit und damit wieder
Geld.
Aktuell im Umlauf: Die häufigsten
Schädlinge
Getrennt durch Schrägstrich oder Punkt folgt der
eigentliche Name. Meist steht dabei wie bei
VBS/Loveletter eine besondere Eigenschaft der Malware
oder ein markanter Text Pate. Beim Kernnamen treffen die
Hersteller von Antiviren-Software allerdings oft ihre
eigene Wahl. Viele Schädlinge sind deshalb unter
mehreren, leicht abweichenden Namen oder Aliases
bekannt.
Dann folgt ein Punkt oder Minuszeichen und die Variante,
angefangen mit A. Denn viele Schädlinge tauchen
innerhalb kurzer Zeit in leicht veränderter Form erneut
auf. Dies liegt daran, dass es Trittbrettfahrer gibt, die den
originalen Programmcode modifizieren und etwa andere
Meldungen einfügen. Zum anderen verändern sich vor
allem Makroviren oft selbst, etwa durch verstümmelte
Dokumente oder Kopierfehler.
Ein weiteres Minuszeichen oder ein Klammeraffe (@)
trennt den letzten Teil des Namens ab. "m" bedeutet, dass
sich der Schädling selbst per Mail versendet. "mm"
© PC-WELT 2003
Über 60.000 Schädlinge sind heute bekannt. Allerdings
spielt nur ein Bruchteil davon wirklich eine Rolle. Aus
aller Welt sammelt der Amerikaner Joe Wells seit 1993
Berichte über Virenbefall und stellt sie monatlich in seiner
Wild-List
zusammen,
die
Sie
unter
der
Adressewww.wildlist.orgeinsehen können.
Auch die meisten Hersteller von Antiviren-Software und
die englische FachzeitschriftVirus Bulletinveröffentlichen
jeweils eigene Top-Ten- Listen. Im Wesentlichen decken
sich die Ergebnisse, wenngleich sie zum Teil davon
geprägt sind, wo die Unternehmen mit ihrer Software
besonders präsent sind.
Gemeinsam ist allen Listen, dass etwa 20 bis 30
Schädlinge 99 Prozent der Infektionen ausmachen.
Auffällig: Das Internet sorgt dafür, dass neue Viren
schnell Einzug in die Wild-List halten und oft auch rasch
wieder daraus verschwinden. Zahlreiche Schädlinge
bevölkern aber auch nach ein oder zwei Jahren noch die
5
PC-WELT
Malware ohne Ende
Top-Listen - ein deutliches Indiz dafür, wie schlecht viele
PCs vor Viren geschützt sind.
Die Wild-List für Januar 2003 finden Sie in der
unterliegenden Abbildung "Viren im Überblick: Diese
Schädlinge kursieren oft". Es fällt auf, dass fast nur
Malware in der Liste auftaucht, die sich selbst per Mail
verbreitet - sie ist mit dem Namenszusatz "m"
beziehungsweise "mm" gekennzeichnet
Die einzige prominente Ausnahme ist der Dateivirus
W32/Elkern, der allerdings vom Wurm W32/Klez
sozusagen huckepack transportiert wird. Sobald Klez
einen PC erreicht hat und aktiv geworden ist, legt der
Wurm eine Kopie von Elkern auf der Festplatte an und
startet den Virus. Weitere Ausnahmen betreffen zwei
Windows-95/98/ME-Viren, die bereits seit Jahren ihr
Unwesen treiben. Win NT 4, 2000 oder XP können diese
beiden Viren gar nicht infizieren.
Makroviren sowie VB-Script- und Javascript- Schädlinge
sind in puncto Verbreitung ebenfalls auf dem Rückzug.
Bemerkenswert ist, dass sich gerade sehr alte Exemplare
dieser Gattung halten. JS/Kak und W97M/Marker gibt es
schon lange, der legendäre Loveletter ist gleich in
mehreren Versionen im Umlauf.
Das zeigt, dass immer noch viel zu viele PCs völlig
ungeschützt ohne Antiviren-Tool arbeiten. Denn selbst das
schlechteste Virenschutzprogramm findet Loveletter. Ein
Bootvirus taucht gar nicht mehr in der Wild-List auf, in
der Ergänzungsliste mit weniger verbreiteter Malware gibt
es noch Bootviren, die aus den Jahren 1994/95 stammen.
Sie überdauern auf alten Sicherungs- und Systemdisketten
© PC-WELT 2003
6