Die DEUTSCHEN Trojaner-Seiten
Zur Homepage
Rubrik "Reporte"
Report
"
Musiktauschprogramm"
Sind Viren- und Trojanerinfektionen über ein Musiktauschprogramm möglich ?

Seitdem "Napster" quasi nur noch auf dem Papier existiert, schießen Alternativen zu dem beliebten Musiktauschprogramm wie Pilze aus dem Boden. Im Gegensatz zu "Napster" haben jedoch die meissten Programme die Gemeinsamkeit, dass es sich um reine Peer-to-Peer Verbindungen handelt und die Verbindungen nicht erst über einen zentralen Server aufgebaut werden. Sprich: Die Mitglieder geben einen Teil ihrer Festplatte frei, damit andere Mitglieder über das Internet direkt darauf zugreifen können.

So lassen sich neben MP3s auch Filme, Bilder, Software etc. austauschen.

Sehr gute weiterführende Infos gibt es unter http://www.at-web.de/p2p/p2p.htm
(WWW).

Diese Woche habe ich nun im Internet den Hinweis aufgeschnappt, dass seit einiger Zeit über die Tauschsoftware "Morpheus" vermehrt Viren verbreitet werden sollen. Um den Nutzer über diesen Umstand nicht im Unklaren zu lassen, habe ich einfach mal einen kleinen Selbstversuch unternommen und die Sache genauer durchleuchtet.


1. Selbsttest:

Der Schwachpunkt von "Morpheus" (und mit Sicherheit auch von anderen Programmen dieser Art) ist tatsächlich, dass doppelte Dateiendungen nicht angezeigt werden. So wird aus einem "Depeche Mode.mp3.vbs" nur ein "Depeche Mode.mp3".

Startet man nun die Suche nach einem bestimmten Titel über den Programmpunkt "Everything" statt über "Audio", so bekommt man nicht nur MP3-Dateien angezeigt (siehe Bild). Ein Fehler, den besonders Anfänger gerne machen.



Lädt man sich nun den Titel "Ludicrus-....mp3" herunter, so sieht man in der Morpheus-Ansicht nicht, dass es sich hierbei um eine vbs-Datei handelt. Erst im Explorer wird ersichtlich, dass wir uns hier ein Kuckucksei ins Nest geholt haben.



Wenn wir nun noch den Virenscanner drüberlaufen lassen, findet sich unser alter Freund der Loveletter wieder.




2. Analyse des Problems:

Tja. Wenn man voreilig urteilt, könnte man durchaus denken, dass hier ein Spinner eine "neue" Methode zur Virenverbreitung gefunden hat. Allerdings habe ich diesen Testdownload mit verschiedenen Musikdateien von rund 20 Nutzern vorgenommen. Bei jedem war die Musikdatei mit dem Loveletter infiziert. Andere Viren habe ich nicht gefunden.

Hier mal eine gezielte Suche nach Dateien mit der Endung vbs.



Unter den Adressen http://www.trojaner-info.de/archiv/vbs_loveletter.html
(WWW) und http://www.cc.ethz.ch/n/wurm/ablauf.html (WWW) finden sich weiterführende Hinweise über die Infektion mit dem Loveletter-Wurm.

Eine Eigenart des Wurms ist es, dass er selbständig alle auf der Festplatte befindlichen Musik-Dateien und Bilder mit seinem Code überschreibt und so zerstört. Wird eine so infizierte Musik-Datei ausgeführt, breitet sich der Wurm erneut aus.

Aufgrund dieser Tatsache gehe ich mal davon aus, dass die Besitzer der infizierten Dateien sich einen "Loveletter" eingefangen haben und nun ohne Wissen den Wurm über "Morpheus" verbreiten.


3. Weitere Gefahren:

Bei dem o.g. Beispiel handelt es sich also wahrscheinlich nicht um eine gezielte Attacke. Aber gibt es nicht doch Viren/Würmer, die sich selbständig über diese Art Software verbreiten können?

Schauen wir dazu mal in die Vergangenheit.

Im Juni 2000 wurde obiges Prinzip bereits bei der Tauschsoftware "Gnutella" angewendet, um einen Wurm zu verbreiten. Siehe dazu auch http://news.zdnet.de/story/0,,s2052053,00.html
(WWW). Hierbei war man jedoch immer noch von der Unwissenheit des Nutzers abhängig, da er die vbs-Datei des Wurms zunächst einmal ausführen musste.

Im Februar 2001 wurde dann erstmals eine Sicherheitslücke in der Gnutella-Software verwendet, um einen Wurm zu verbreiten. Siehe dazu auch http://www.trojaner-info.de/news/gnutella_worm.shtml
(WWW) oder auch http://www.golem.de/0102/12640.html (WWW). Auch hier musste der Nutzer wieder die exe-Datei des Wurms ausführen.


4. Ausblick:

Kommen wir zum Fazit.

Eine Sicherheitslücke wie unter "Gnutella" ist bei "Morpheus" derzeit noch nicht bekannt. Eine aktive Verbreitung von Viren findet ebenfalls nicht statt. Man kann jedoch davon ausgehen, dass es in absehbarer Zeit findige Geister geben wird, die die o.g. Schwachstellen und die Unwissenheit der meisten Nutzer zur Verbreitung von Viren/Würmern ausnutzen werden.


5. Vorbeugung:

Wenn man einige Vorsichtsmaßnahmen beachtet, spricht jedoch nichts dagegen, auch weiterhin Dateien über das Internet auszutauschen.


-> Zunächst sollte sich einen guten und vor allem aktuellen Virenscanner installieren und ihn über jeden Download laufen lassen.

-> Heruntergeladene Dateien sollte man sich zunächst mal im Explorer genauer anschauen. So kann man vermeiden, dass man aus Versehen eine falsche Datei (falsche Dateiendung, doppelte Dateiendung etc.) ausführt.

-> Besonders vorsichtig sollte man beim Tausch von Software sein. Hier lassen sich Viren/Würmer/Trojaner sehr einfach verstecken und verbreiten.

-> Man sollte seine MP3s immer über das Fach "Audio" suchen lassen. In diesem Fall werden auch nur Dateien angezeigt, die wirklich MP3s sind.


Diese und noch viele weitere Tipps findet ihr auch in der "Erste Hilfe im Internet"
(WWW), die ich euch dringend ans Herz legen möchte.

(ae) 07. Juli 2001