Virus-Alarm
Wege zur Erkenntnis
von Kai Raven
Version 1.1
Inhalt
Die Vertreter ihrer Gattung - Virentypen
Infektionswege oder "Lass mich rein"
Abwehrmaßnahmen und Vorbeugung gegen Viren
Einleitung
Viren gibt es seit es Personal Computer gibt - seit Jahrzehnten begleiten sie die Entwicklung des Computers und es wird sie wohl auch noch in ein paar Jahrzehnten geben.
1986 trat der erste Bootsektor-Computervirus auf. Er hieß "Pakistani Brain" und betraf nur Disketten, das damals gebräuchliche Datenaustauschmedium.
Seitdem sind eine Menge weiterer, verschiedener Typen aufgetreten, immer raffinierter und immer aktuell passend zu den PC-Neuerungen ihrer Zeit: Nach den Bootsektorviren traten Ende 1995 die ersten Makroviren, Ende 1998 die ersten Skriptviren auf.
Auch die Techniken der Virenprogrammierung und des Virendesigns haben sich gewandelt. Vom einfachen Bootsektorvirus unterscheidet sich ein polymorpher Stealth-Virus ganz erheblich.
Waren Viren früher nur das gefährliche Spielzeug von "Crackern" aus der Schmuddelecke, werden Viren heute als Kampfmittel im digitalen Cyber-Info-War der Zukunft gehandelt und man kann davon ausgehen, dass jeder technologisch fortentwickelte Staat der Erde über sein eigenes, selbst entwickeltes Arsenal dieser Gattung elektronischer Waffen verfügt.
Die Personen, die Viren programmieren, kommen aus allen nur denkbaren Richtungen:
Der Cracker, der abends vor seinem summenden Monitor neueste Kreationen entwirft, aufsässige Skript-Kiddies, die sich mit dem Virengenerator ihrer Wahl ein Virus zusammenbasteln lassen, um damit zu prahlen, der enttäuschte Programmierer aus Russland, der statt fettem Verdienst in Strumpfhosen ausbezahlt wird, der gemobbte Angestellte, der seinem Chef mal richtig die Hölle heiß machen will, Geheimdienst- und Militärabteilungen, die ihren potentiellen Gegnern auf dem elektronischen Schlachtfeld voraus sein wollen.
So wächst und wächst und wächst die Anzahl der Viren kontinuierlich an: Mitte 1997 wurden ca. 12000 Viren (bei ca. 3500 Virenfamilien) gezählt, Mitte 1997 waren es schon 20000, Anfang 2000 47000.
Parallel dazu werden die Virensuch- und -zerstörungsprogramme immer ausgefeilter, man zieht sich hinter Firewalls zurück und scannt alles und nichts, was über die verschiedenen Wege des Datenstroms zu Anwendern, Firmen und Behörden hereinplätschert - so sollte es eigentlich sein, aber noch immer verursacht ein so primitiver Virus wie I LOVE YOU im Mai 2000 Schäden in Milliardenhöhe, noch immer werden Programme aus x-beliebiger Quelle mit einem herzerfrischenden Doppel-Klick geöffnet, noch immer siegt die Neugier über den Verstand bei E-Mail Attachments. Einige Computeruser sind bei der ganzen Virengeschichte besser dran: Linux, Unix und MaC User haben aufgrund der sicheren Datei- & Systemarchitektur ihrer Betriebssysteme so gut wie keine Virusinfektion zu befürchten. Der Hauptleidtragende ist der Windows-Anwender, weil es dem Microsoft-Konzern seit Jahrzehnten nicht einfällt, seine Betriebssysteme genauso sicher zu machen wie Linux, Unix, Solaris oder MacOS - das ist eine der Wurzeln des Virenübels.
Selbstverständlich bedarf es auch bei den genannten Betriebssystemen einer kompetenten und richtigen Konfiguration und Administration, um ein Höchstmaß an Sicherheit herbeizuführen.
Zu einer Verbesserung von Windows-Betriebssystemen, speziell der Windows 98 Varianten, würde z. B. eine integrierte Firewallfunktion zählen, die u. a. in der Lage ist, den E-Mailverkehr zu überprüfen, eine differenzierte Rechtevergabe, wie sie unter Linux üblich (und unter Windows 2000 ansatzweise verwirklicht) ist oder die sichere Isolierung der Betriebssystemstrukturen und des -kerns vor unberechtigten Zugriffen.
Nebenbei wäre es schon ein Anfang, wenn die Standardeinstellungen aller Microsoftprogramme schon bei Auslieferung auf höchste Sicherheit hin vorkonfiguriert wären.
Die Vertreter ihrer Gattung
Aber kommen wir nun zu einigen Vertretern der Gattung VIRUS COMPUTICUS DIGITALIS, als da wären:
Boot-Viren (System-Viren)
heißen deshalb so, weil sie die Systemstartbereiche auf Festplatten und Disketten befallen, also den Master-Boot-Record (deshalb auch MBR-Viren genannt) und den Boot-Loader. Jeder nicht-schreibgeschützte Datenträger wird nach dem Befall infiziert.
Datei-Viren
hängen sich an das Ende, den Anfang oder mitten in den Programmcode ausführbarer Dateien (also Dateien mit z. B. Endungen wie *com, *.exe, *.sys, *.drv, *.bin) ein und an, oder ersetzen den Programmcode. Wird das Programm gestartet, setzt der Virus seine Schadensroutine frei und/oder kopiert sich in weitere Programme
Hybrid-Viren
als Kombination aus Datei- und Boot-Viren. So erreicht der Virenprogrammierer nicht nur den Befall des Systemstartbereichs, sondern gleichzeitig die Infizierung von Programmdateien.
Makro-Viren
zielen auf MS-Office Dokumente und werden über Makros der bekannten Office-Programme übertragen. Über Konvertierungen für höhere Programmversionen oder in andere Formate können die Makroviren auf weitere Programme und Dateien übertragen werden.
Trojanische Pferde
sind eigentlich ganz normale Programme, die als Service oder Programm ausgeführt werden - nur dass sie dazu genutzt werden, möglichst unbemerkt vom Anwender, Daten auf der Festplatte auszuspionieren oder Ports für den Fernzugriff und die Fernkontrolle zu öffnen. TP tarnen sich oft unter anderen Namen oder harmlosen Programmtiteln und werden oft im Huckepack-Verfahren mit einem anderen Virus oder einem normalen Programm mitübertragen und installiert. Eine Abart stellen die Key-Logger dar, die Tastatureingaben des Anwenders abfangen und den Inhalt gesammelt über einen Spionageport beim nächsten Netzzugang übertragen.
Würmer
sind eigenständige Programme, die auf Netzwerke (wie dem Internet) losgelassen werden. Der Wurm dringt in den Rechner ein, wenn er passende Schwachstellen findet. Dann analysiert er die Netzwerkkonfiguration, um neue Ziele zu finden und greift diese auf die gleiche Weise an. Unter Windows analysieren wurmähnliche Viren oft das Adressbuch von Outlook, hängen sich an E-Mails oder generieren diese und verbreiten sich so von Windows zu Windows Rechner. Die Übertragung vollzieht sich oft über angehängte Skripte, so dass sie eher den Skript-Viren entsprechen. Der bekannteste, richtige Wurm war der Internet-Worm des amerikanischen Studenten Robert Morris jr.
Logische Bomben
werden als Bestandteil des Betriebssystems direkt in dessen Programmcode eingebaut oder liegen als eigenständiger Virus vor. Sie werden aktiv, wenn ein bestimmtes Ereignis auf dem System eintrifft (z. B. ein bestimmtes Datum, eine bestimmte Programmroutine usw.)
(Skript)Web-Viren
werden in WordBasic-, VisualBasic-, Java-Script & -Module einprogrammiert, die dann in Word-, Exceldokumente und HTML-Webseiten eingebettet werden. Der Virencode nutzt zu seiner Vervielfältigung die Skriptengine des Windows Skripting Host.
Stealth-Viren
benannt nach dem amerikanischen Stealth-Bomber (Tarnkappenbomber), der ein bestimmtes Design und eine spezielle Beschichtung benutzt, um vom gegnerischen Radar nicht erfasst zu werden. Wie das Radar versucht der Stealth-Virus die Virenscanner, Virenschilde und Integrity-Checker zu täuschen, indem sie sich unter anderem Namen in die Verzeichnisse eintragen oder bei Überprüfung von Daten durch die Virenscanner die unverfälschten Originaldaten an die Virenscanner weitergeben. Der Stealth-Virus hält sich resident im Arbeitsspeicher und wechselt dort die Speicheradressen.
Polymorphe Viren
sind gleichzeitig "Crypto-Viren", da sie ihren Virencode verschlüsselt weitergeben. Zur Aktivierung der Schadenskomponente entschlüsselt der Virus über eine spezielle Entschlüsselungsabfolge seinen Code. Zur Neuinfektion wird die Entschlüsselungsabfolge und der Schlüssel jedesmal geändert, so dass der Virus seinen Phänotypus permanent wechselt, was ein Aufspüren erschwert.
Besonders die letzten beiden Typen und die Skriptviren stellen die Elite der Viren der Zukunft dar. Was würde wohl passieren, wenn sich ein polymorpher-Stealth-Skript-Wurm durch das Internet und die Rechner schlängeln würde ?
Nicht-Viren
Neben den echten und gefährlichen Viren gibt es die Alarmmeldungen, die per E-Mail oder Usenet-Posting das Auftreten eines extrem gefährlichen Virus melden, der noch unbekannt ist und/oder für den es kein Gegenmittel gibt. Oft sind diese Warnungen mit der Aufforderung verbunden, die Meldung möglichst breit zu verteilen und an Bekannte weiterzusenden.
Tatsächlich existiert der genannte Virus gar nicht, sondern wurde eigens zum Scherz "kreiert".
Diese Scherz-Viren werden Hoax genannt.
Sollte man solch eine Warnmeldung erhalten und sich nicht sicher sein, ob diese Warnung einen real existierenden Virus betrifft, sucht man am besten eine der Virendokumentationen auf oder die Homepage der Virenscannerhersteller, um die Echtheit der Angaben zu überprüfen. Nur im Falle einer Bestätigung sollte man diese Warnungen ernst nehmen.
Der bekannteste Virus-Hoax dürfte der "Good-Times-Virus" sein.
Infektionswege oder "Lass mich rein"
- mit Boot-Viren verseuchte Disketten, bzw. bootfähige Wechselmedien
- verseuchte Programme auf CD-ROMS, bzw. Wechselmedien
- geöffnete Ports und ungesicherte Server-Services auf Rechnern
- Webseiten mit aktiven Inhalten wie ActiveX, Java, JavaScript
- Webseiten mit eingebetteten Word oder Exceldokumenten
- Word oder Exceldokumente
- VisualBasic und Javascripte, Officedokumente und Programme als E-Mailattachment oder News-Postings
- verborgen in selbstentpackenden Archiven
Abwehrmaßnahmen und Vorbeugung gegen Viren
- E-Mail Attachments, egal welchen Typus, werden niemals sofort geöffnet, sondern entweder abgespeichert und mit den Virenscannern überprüft oder sofort gelöscht - das gilt auch für Anhänge von bekannten Absendern !!! Siehe Würmer
- Programme und Archive, die über FTP-Server, von Webseiten oder über Wechseldatenträger bezogen oder heruntergeladen werden, werden niemals sofort geöffnet, sondern entweder abgespeichert und mit den Virenscannern überprüft oder sofort gelöscht
- die Bootreihenfolge wird im BIOS auf C:,A: oder nur C: eingestellt und nur bei Bedarf umgestellt (z. B. um den Virenscanner von der Notfalldiskette zu starten)
- CD-ROMS, Disketten, ZIP-Disketten und andere Wechseldatenträger aus fremder Hand (und wenn's der beste Freund ist) werden vor der ersten Benutzung mit den Virenscannern überprüft.
- mindestens 1x pro Monat das gesamte System einem Komplett-Virenscan mit den Notfalldisketten unterziehen
- bei einem BIOS, das per Jumper schreibgeschützt werden kann, wird dieser Jumper gesetzt
- der einzelne PC, der Mailserver, Proxy oder die Firewall im Netzwerk werden mit einem netzwerkfähigen Virenscannermodul ausgestattet
- der einzelne PC, das Netzwerk wird mit einer Firewall ausgestattet, die nur bestimmte Services (SMTP, POP3, HTTP, FTP) und bestimmte Programme zulassen, alles andere wird gesperrt.
- zusätzliche Installation von Tools, die über eine Content Analyse den Aufbau und den Inhalt von Dateien untersuchen, so dass auch mehrfach verpackte Daten und z. B. darin verborgene Makros oder Skriptanhänge kontrolliert werden können.
Dabei ist zu beachten, dass diese Tools nicht mit Anforderungen des Datenschutzes und der Privatsphäre kollidieren. - die Web-Browser und E-Mailprogramme werden mit der höchsten Sicherheitsstufe konfiguriert (sieh Win-Security) und regelmäßig mit aktuellen Sicherheits-Updates versorgt.
- es werden nur Server installiert, deren Eigenarten und deren Bedienung, Services, deren Funktionen man kennt (das trifft in Netzwerken zumeist nur auf die System- und Netzwerkadministratoren zu - hoffe ich) und die man unbedingt braucht.
- es werden regelmäßige Backups aller oder wenigstens der wichtigsten Daten angelegt
- In großen Unternehmen bietet sich die Aufstellung eines Notfall-Ablaufplanes an, damit jede Stelle und jeder Angestellte sofort weiß, welche Schritte im Falle eines Virenalarms ergriffen werden müssen.
- sensible und wichtige Daten werden auf äußere Datenträger isoliert und/oder kryptografisch verschlüsselt auf der Festplatte verwahrt.
Virenscanner
- die Virenscanner der Wahl werden aus bekannter und sicherer Quelle bezogen
- es werden mindestens zwei verschiedene Virenscanner eingesetzt. Wie die Tests des Viren-Centers Hamburg belegen, besitzen die Scanner unterschiedliche Stärken und Schwächen in der Erkennung und Beseitigung von Viren
- die Virensignaturdaten werden mindestens 1x pro Woche aktualisiert, laut Meldung von Symantecs Virenlabor verzeichnen die Forscher wöchentlich mindestens 20 neue Viren
- bei ausreichender Systemkapazität wird ein speicherresidenter Virenschild aktiviert
- es werden bootfähige Notfalldisketten erstellt, die mit den Virenscannern versehen werden. Die Notfalldisketten werden nach jedem Update der Virensignaturen aktualisiert und schreibgeschützt aufbewahrt !
- den Virenscanner so konfigurieren, dass er alle Dateien, Dokumente und komprimierten Archive scannt. Die heuristische Scanfunktion aktivieren
Der Ernstfall
Sollte trotzdem ein Virus seinen Weg auf den Rechner finden oder der Verdacht eines Virenbefalls bestehen, schlage ich folgende Vorgehensweise vor:
- alle geöffneten Programme schließen
- alle Daten abspeichern
- den Rechner ausschalten und im Netzwerk vom Netzwerk trennen (kein Warm-Start)
- im Netzwerk den Systemadministrator oder die verantwortliche Stelle sofort informieren. So können sowohl eventuelle Folgeinfektionen erkannt und beseitigt, als auch relevante Sicherheitslecks sofort erkannt werden, um Abwehrmaßnahmen für die Zukunft zu konzipieren.
- die Notfalldisketten der Virenscanner bereitlegen
- den Rechner neu starten und im BIOS die Startreihenfolge auf A: setzen
- den Rechner booten und den Virenscanner ausführen
es werden keine Viren gefunden:
- weitere Virenscanner ausprobieren, andere Fehlerquellen suchen, Rechner vom Fachmann überprüfen lassen, davon ausgehen, dass kein Virus existiert.
es werden Viren gefunden:
Backup oder Quelldatenträger der betroffenen Daten liegt vor:
- Dateien löschen lassen oder isolieren, um sie den Virenlabors zuzusenden, danach Daten über Backup/Quelle restaurieren
Backup liegt nicht vor:
- Dateien vom Virenscanner desinfizieren lassen, erneutes Scannen des Systems. Wenn der Befund O.K. ist, Rechner neu von C: starten
- Dateien vom Virenscanner löschen lassen, wenn Dateien nicht desinfiziert werden können (eventuell professionelle Datenrettungsdienste in Anspruch nehmen, wenn die Daten sehr wertvoll oder wichtig genug sind
- Nach Neustart die Quelle des Virenbefalls herausfinden und ausschalten, andere Personen warnen und bei isoliertem Virus den Virus an ein Virenlabor einsenden, falls dieser in der Virenbibliothek nicht verzeichnet ist
Links
Info:
Viren-Test-Center Hamburg (WWW)
Virus Help München (WWW)
Virus Bulletin Board (WWW)
Virenscanner:
[Auswahl nach dem Virenscanner-Test des VTC v. 26.02.2000, es gibt noch andere]
Command AntiVirus (WWW)
McAfee VirusScan (WWW)
Dr. Solomon's Antivirus Toolkit (WWW)
NOD (WWW)
F-PROT (WWW)
F-PROT in DEUTSCHLAND (WWW)
F-Secure AntiVirus (WWW)
AntiViral Toolkit Pro (AVP) (WWW)
FPROTRAR (WWW)
zum Erstellen von F-Prot Virenscandisketten befinden sich in FPROTRAR zwei Batchdateien, mit denen man automatisch die jeweils aktuellen F-Prot Dateien auf mehrere Disketten sichern und anschließend von diesen Disketten automatisch zum Virenscannen verwenden kann.
Einzige Voraussetzung ist der Packer RAR (WWW) in der DOS Version.
Virenlabors:
Anti-Virus Emergency Response Team NAI (WWW)
Anti Virus Research Center Symantec (WWW)
Virendokumentation:
AVP Virus Enzyklopädie (WWW)
Virus Research Bibliothek Symantec (WWW)
F-PROT Virenbeschreibung (WWW)
Hoax-Informationsseite der TU Berlin (WWW)
Wie arbeiten Virenscanner
Datenbanken
Grundlage jeden Virenscanners sind die Datenbanken mit den Namen und Signaturen der Viren.
Alle namhaften Virenscannerproduzenten unterhalten eigene Virenlabors und Spürtrupps, die einschlägige Newsgroups, FTP-Server und Websites besuchen, um sich die neuesten Virenkreationen zu besorgen. Oft werden den Virenlabors Exemplare von betroffenen Anwendern zugesendet, die flugs einer Analyse zugeführt werden. Das Resultat dieser Analyse wird zum einen für akute Viren-Cleaner verwendet - das sind kleine Stand-Alone Virenscanner für einen speziellen Virus, zum anderen werden die Signaturen gewonnen, typische Code-Strings eines Virus - die dann in der Signaturdatenbank eingepflegt werden.
Daraus ergibt sich, dass die besondere Stärke der Virenscanner in der Erkennung und Bekämpfung bereits bekannter Viren liegt und die Notwendigkeit des Anwenders, seine lokalen Datenbanken stets aktuell zu halten.
Das Scannermodul
Ein Bestandteil des Virenbekämpfungsprogramms ist für die Aufspürung der Viren zuständig. Dazu sondiert der Scanner das Innere von potentiellen Opfer-Dateien und -Programmen, komprimierten Archiven, die Startbereiche der Datenträger und den Arbeitsspeicher.
Findet der Scanner ein Muster oder einen Anomalie, vergleicht der Scanner diese mit den Signaturen seiner Datenbank auf Übereinstimmung ("Pattern Matching").
Bei der heuristischen Analyse zieht der Scanner außerdem emulierte Virenstrings und -verhaltensweisen heran, die charakteristisch für Viren sind, um so auch Viren zu erkennen, die noch nicht mit eigenem Namen und String in den Datenbanken vertreten sind, also neue Viren - wobei die Fehlerquote von fälschlicherweise als infiziert deklarierter Daten größer ist als bei der normalen Virensuche.
Wird ein Virus gefunden, gibt der Scanner eine Warnmeldung in audio-visueller Weise aus und übergibt das Ergebnis an den Desinfizierer.
Das Virenschild
Ist ein speicherresidentes (also im Hintergrund arbeitendes) Scanmodul. Es kann so eingestellt werden, dass es in Realzeit alle Dateioperationen - das Öffnen, Umbenennen, Kopieren und Erstellen von Daten, alle Zugriffe auf Diskettenlaufwerke und alle aus dem Netz heruntergeladenen Daten und E-Mails auf mögliche Virenmanipulation hin überprüft.
Was natürlich zu Einbußen in der Systemperformance führen kann.
Der Desinfizierer
Nachdem ein Virus festgestellt worden ist, tritt das Desinfiziermodul in Aktion. Es lässt wahlweise zu, die Datei vom Virenprogrammcode zu reinigen, die Datei zu isolieren, indem es die Datei in ein Quarantäneverzeichnis verschiebt, die Datei umzubenennen oder ganz zu löschen.
Bei der heuristischer Analyse sollte auch die Möglichkeit, eine Datei von der Analyse auszuschließen oder zu überspringen, aktiviert sein, da es zu Fehlalarmen kommen kann.
Für Netzwerke gibt es netzwerkfähige Varianten der Virenscanner, die in SMTP-Gateways, Proxyserver und Firewalls implementiert und zentral vom Systemadministrator gewartet werden. Zumeist sind sie mit lokalen Virenscanmodulen auf den einzelnen Arbeitsstationen verbunden.
