 |
ComputervirenDer Begriff des Computervirus wurde im Jahr 1984 durch den Programmierer FredCohen bei DEC geprägt, der als erster eine Abhandlung zu seiner prinzipiellen Funktionsweise veröffentlichte:"We define a computer-'virus' as a program that can 'infect' other programs by modifyingthem to include a possibly evolved copy of itself. With the infectionproperty, a viruscan spread throughout a computer system or network using the authorizations of everyuser using it to infect their programs. Every program that gets infected may also act as a virus and thus the infection grows."Diese Definition entspricht der Verhaltensweise eines sogenannten "Link-Virus", das auf ausführbaren Programmen arbeitet. Im Laufe der Evolution der Viren stellte sich jedoch heraus, das eine virenartige Verbreitung von Information auch auf vielerlei anderen Wegen möglich ist. Man geht heute von ca. 60000 verschiedenenVirenarten aus, die sich im Umlauf befinden. Virus-Designer entwickeln laufend neue Techniken und zugleich zirkulieren Entwicklungswerkzeuge, die es Personen ohne Programmierkenntnisse ermöglicht,Mutationen (strains) zu erzeugen. Viren beschränken sich dabei nicht mehr auf die "Infektion" ausführbarer Programme, sondern befallen alle Dateien, die in irgendeiner Weise ausführbare Teile enthalten, also auch Word-Dokumente, Excel-Tabellen, E-Mails, Webseiten, usw. Es ist deshalb notwendig, die Virengefahr ernst zu nehmen. Sieht man dies im Zusammenhang mit der Möglichkeit, eigene Datenträger mitzubringen und sie im LAN des Unternehmens zu verwenden, ist dies ein weiterer Grund zur Aufmerksamkeit. Es ist deshalb wichtig, eine Antivirus-Politik zu formulieren. Die Antivirus-Politik des LAN hat primär das Ziel, eine Vireninfektion zu verhindern, Viren vor dem Ausbruch nachzuweisen sowie Bekämpfung und Wiederherstellung zu erleichtern, wenn das Unglück schon geschehen ist. Sie muß aber vor allem die Benutzer für die Gefahr sensibilisieren, so daß
sie beispielsweise nicht auf jedes E-Mail-Attachment klicken (Man isst ja auch nicht
jeden Pilz, den man im Wald findet.).
Bootsektor-Viren
Im ersten Sektor eines Datenträgers steht normalerweise ein Verweis, wo die
Laderoutine für das Betriebssystem zu finden ist. Ein Bootsektor-Virus nistet
sich in diesen Sektor ein, kopiert den ursprünglichen Bootsektor an eine andere
Stelle. Bei einem Bootvorgang wird nun zunächst das Virus aktiviert.
Anschließend wird der kopierte Bootsektor ausgeführt, der dann das
Betriebssystem lädt. Auf diese Weise wird das Virus bei jedem Systemstart
automatisch ausgeführt. Es bleibt resident im Speicher und infiziert jeden
weiteren Bootsektor, den es finden kann. Zur Verbreitung ist es auf bootfähige
Medien wie Disketten angewiesen. Bootsektor-Viren spielen daher heutzutage eine
untergeordnete Rolle.
Link-Viren
Link-Viren verbreiten sich durch infizierte auführbare Programme, in die sich das
Virus eingenistet hat. Beim Infizieren der Datei hängt sich das Virus meist hinter
den ursprünglichen Programmcode an und schreibt vor diesen einen Sprungbefehl auf
sich selbst. Beim Aufruf des modifizierten Programms wird also zunächst der
Sprungbefehl auf den Viruscode vollzogen und dieser Code ausgeführt. Dieser kann
nun seine Verbreitungs- und Schadensfunktion ausführen und startet nach deren
Beendigung das eigentliche Wirtsprogramm.
Speicherresidente Viren
Speicherresidente Viren bleiben nach der Aktivierung als Prozeß im Speicher aktiv.
Sie können sich damit auch nach Beendigung des infizierten Programms ausbreiten oder
Schaden anrichten. Diese Eingenschaft wird meist mit den andern Vireneigenschaften
kombiniert (z.B. bei Bootsektor-Viren, Tarnkappen-Viren).
Tarnkappen-Viren (Stealth-Viren)
Sie verbergen sich im Arbeitsspeicher, im Master-Boot-Record oder im Bootsektor. Sie benutzen unter anderem falsche Meldungen an Antivirusprogramme, um einem Viruscheck zu entgehen. Wenn eine infizierte Datei zur Bearbeitung geöffnet wird, wird sie vom
speicherresidenten Tarnkappen-Virus desinfiziert und dann zur Bearbeitung freigegeben.
Wird die bearbeitete Datei wieder geschlossen, infiziert sie der speicherresidente
Teil wieder. Das Virus verschleiert natürlich auch sein Vorhandensein im
Arbeitsspeicher des Systems.
Polymorphe Viren
Polymorphe Viren verhalten sich wie Link-Viren. Sie verschlüsseln und verändern
aber mit jeder Infektion ihren eigenen Programmcode. Man kann diese Viren daher nur sehr
schwer über eine Signatur erkennen. Dieser Typ gehört zur neueren Generation.
Virusdesigner benutzen verschiedene "mutation engines" zum Generieren solcher Viren.
Makro-Viren
Makro-Viren infizieren und verbreiten sich nicht durch ausführbare Programme,
sondern durch Datendateien wie Dokumente und Tabellen. Sie greifen dabei auf die
umfangreichen Makro-Sprachen von Programmen wie Word oder Excel zurück.
Diese Makro-Sprachen dienen normalerweise zur Automatisierung von Arbeitsabläufen
oder zur Implementierung neuer Funktionen.
Eines der ersten Viren dieses Typs war "Concept", das Word-Dokumente infizierte.
Concept nutzt zur Aktivierung das Makro "AutoOpen", das beim Öffnen eines
Dokuments ausgeführt wird und das Virus selbst startet. Danach infizierte es die
globale Dokumentvorlage "NORMAL.DOT" und installierte weitere Makros wie "FileSaveAs".
Das Infizieren der Dokumentvorlage aktivierte das Virus bei jedem Aufruf von Word, da
immer zuerst die Makros der Dokumentvorlage ausgeführt werden. Das Makro "FileSaveAs"
sogte für die Verbreitung, es kopierte das Virus beim Abspeichern eines Dokuments
mit mit diesem Dokument.
Das Word-Virus "Melissa", das sich zusätzlich durch Outlook-Schnittstelle selbst
per E-Mail verschicken kann ist nur ein Beispiel der Möglichkeiten, die man bei
der Virenentwicklung ausnutzen kann.
Gegenmaßnahmen
Man kann mit verschiedenen Programmen ein System auf Virenbefall prüfen, Viren
entfernen oder eine Infektion verhindern.
- Prüfsummenprogramme
Ein Prüfsummenprogramm generiert in einem ersten Lauf für jede Datei eines
Datenträgers eine Prüfsumme und legt diese in einer Datenbank ab. Nun kann
zu einem beliebigen Zeitpunkt die frühere Prüfsumme aus der Datenbank mit
der aktuell generierten verglichen werden.
Vorteilhaft ist, daß Änderungen sofort erkannt und neue Viren gefunden
werden. Jedoch ändern sich Programme und Daten auch ohne Viren-Einfluß.
Neue Viren sind daher schwer von Fehlalarm zu unterscheiden. Das System muß
bei Prüfsummengenerierung garantiert virenfrei sein.
- Virenscanner
Virenscanner suchen anhand verschiedener Merkmale (Signaturen) nach Viren. Der
Suchvorgang wird entweder manuell ausgelöst oder läuft ständig im
Hintergrund. Auch wird der Arbeitsspeicher überwacht, so daß schon beim
Aufruf eines infizierten Programmes die Virenausführung sofort beendet
werden kann. Virenscanner bringen meist auch Mittel zur Beseitigung der von ihnen
gefunden Viren mit - wobei die Beseitungsroutinen nicht immer zum Erfolg führen
und mitunter das System sogar irreparabel schädigen. Damit ein Virenscanner
die neuesten Viren erkennen kann, bedient er sich einer Datei mit
charakteristischen Merkmalen der Viren. Diese Datei muß ständig aktuell
gehalten werden, da ansonsten eine Erkennung neuer Viren nicht möglich ist.
Bei Virenscan werden zwei Methoden unterschieden:
- Signaturbasierte Suche, mit der sich nicht-polymorphe Viren leicht aufspüren
lassen. Eine charakteristische Byte-Folge aus dem Viruscode wird als Signatur
festgehalten. Mit Hilfe dieser Signatur kann nun nach dem Virus gezielt gesucht werden.
- Heuristische Suche, mit der auch polymorphe Viren entdeckt werden. Dabei bedient
man sich heuristischer Methoden. Diese gehen davon aus, daß jedes Virus eine
gewisse virentypische Struktur aufweisen muß. Man sucht daher nach Befehlsfolgen
und -kombinationen, die ein Virus gewöhnlich aufweist. Aus der Häufigkeit der
gefundenen Merkmale läßt sich eine Wahrscheinlichkeit für eine Infektion
ermitteln. Der Schwellenwert für die Wahrscheinlichkeit legt fest, ob ein Alarm erfolgt.
Dabei kann es vorkommen, daß ein "Bösewicht durchrutscht.
Ein zweckmäßiger Aufbau des lokalen Netzes ist eine Voraussetzung für
einen hohen Grad an Sicherheit vor Virenangriffen. Eine konsequente Trennung von Daten-
und ausführbaren Dateien hat große Bedeutung für die Sicherung vor
Vireninfektionen und -ausbrüchen. Nur der Systemverwalter darf Schreibberechtigungen
für Datenbereiche mit ausführbaren Dateien haben. Der Systemverwalter ist damit
verantwortlich, die Software zu kontrollieren, ehe sie im LAN installiert wird.
Datenbereiche mit Dateien, zu denen viele Benutzer Schreibberechti-gungen haben,
müssen von ausführbaren Dateien freigehalten werden. Das hilft zwar nicht
gegen Makro-Viren in Datendateien, hält jedoch viele Viren fern. Der zweite Vorteil
einer solchen Trennung ist die schnelle Wiederherstellung eines Client- oder Serverrechners. Da sich die Programmbereiche nicht ändern (sollten), kann ein solcher Bereich schnell durch Einspielen eines Backups oder, falls der älteste Backup auch schon verseucht sein sollte, durch Neuinstallation restauriert werden.
Alle Netzlaufwerke werden regelmäßig auf Viren gescannt (mindestens
wöchentlich). Lokale Festplatten werden täglich gescannt. Die Benutzer sind
verpflichtet, Disketten zu scannen, ehe sie in ihren PC eingelesen werden. Alle Benutzer
werden in den Gebrauch von Antiviruspro-grammen eingeführt, und es wird festgelegt,
wann virusähnliche Probleme dem System-verwalter überlassen werden. Es gilt der
Grundsatz "lieber ein Virusverdacht zu viel als einer zu wenig", damit die Benutzer
ermutigt werden, bei einem Versacht sofirt Alarm zu schlagen.
Der Rechner des einzelnen Benutzers stellt einen Zugangsweg zum LAN dar und ist auch
selbst verletzbar. Ein wichtiger Teil der vorbeugenden Arbeit ist die Benutzerdisziplin,
die das Risiko von Vireninfektionen verringert. Programme unbekannter Herkunft und
unbekannter Wirkung dürfen nicht ohne ein Virusscannen ausgeführt werden.
Unbekannte Disketten müssen mit einem Antivirusprogramm kontrolliert werden, ehe
sie ausgeführt oder auf Festplatte kopiert werden. Checken Sie regelmäßig
Festplatten mit aktualisierten Antivirusprogrammen, und verwenden Sie ein residentes
Antivirusprogramm, das den Rechner beim Start checkt.
Trotz ausgedehnter Sicherheitsmaßnahmen können Arbeitsstationen oder das
lokale Netz von Viren angegriffen werden. In dem Maî wie LAN-Benutzer und -Verantwortliche
sicherheitsbewuîter werden, werden Viren fortschrittlicher. Identifizieren Sie Ursprung
und Art der Infektion. Wenn der Ursprung nicht unmittelbar festgestellt werden kann, ist
es ausreichend, die Art der Infektion festzustellen. Suchen Sie den Schaden im Netz und
identifizieren sie die betroffenen Rechner. Isolieren Sie eventuelle Schäden und
soweit möglich die Quelle der Infektion. Entfernen Sie sofort infizierte Rechner
vom Netz. Nehmen Sie kein Logoff vor, sondern ziehen Sie das Netzwerkkabel ab. Ein
reguläres Logoff kann zur weiteren Verbreitung beitragen. Nur 100% desinfizierte
PCs werden an das Netz angeschlossen. Wenn die Infektion nicht isoliert werden kann,
ist es notwendig, das ganze Netz herunterzufahren, und die Festplatten in den Servern
und Arbeitsstationen mit zwei oder mehr verschiedenen Virusscannern zu scannen. Nachdem
die feindlichen Programme entfernt worden sind, wird ein Restore der verlorenen oder
beschädigten Daten und auch der Boot- und Master-Boot-Sektoren vorgenommen.
Umgang mit Viren-Fehlalarmen - "HOAX"
Virenwarnungen, die die gesamte DV-Branche in Aufruhr versetzen und sich danach in
Wohlgefallen auflösen, sind bereits seit einigen Jahren bekannt. Die
vergeudete Arbeitszeit im Einzelfall kann mehr Schaden anrichten als ein real
existierendes Virus. Im Fachjargon werden solche Fehlwarnungen als HOAX bezeichnet.
Ein Hoax warnt vor großen Schäden bis hin zur totalen Rechnerzerstörung,
und bittet darum, diese Warnung an alle Bekannten weiterzugeben Ein Hoax besitzt keinen
internen Verbreitungsmechanismus. Stattdessen werden menschliche Schwächen für
die Verbreitung ausgenutzt. Über den Lotus-Notes-Verbund oder anderen E-Mail-Anbindungen
werden die vermeintlichen Virenwarnungen verteilt. die Wurzel des Hoaxproblems liegt
darin, daß sich Warnmeldungen häufig schneller als die Viren verbreiten. Zudem ist
der Einsatz eines Hoax wesentlich effektiver ist als die Programmierung eines realen Virus,
da der Hoax von Virensuchprogrammen nicht erkannt wird und die Gutgläubigkeit und
Sorglosigkeit der Nutzer zur Weiterverbreitung nutzt. Zur Herstellung wird statt
tiefergehender Systemkenntnisse nur ein quasitechnisches Wissen benötigt. Der Kreis
der Personen, die einen Hoax erzeugen können, ist damit wesentlich größer
als der Kreis potentieller Virenprogrammierer.
Mit der Verteilung des Hoax beginnt eine Kettenreaktion, die häufig durch zwei
Entwicklungen gekennzeichnet ist. Gutmeinende Nutzer fügen eigene Warnungen hinzu,
andere nicht so gutmeinende Nutzer erweitern die beschriebene Gefahr noch durch selbst
erdachte Szenarien. Somit unterliegen die Benachrichtigungen, die einen Hoax charakterisieren
Änderungen. Daher kann ein Hoax in verschiedenen Variationen existieren und so mehr
als einmal durch ein Netz rollen. So gab es zum Beispiel im Jahr 1996 die Warnung vor
einem angeblichen "Penal"-Virus. Für einen aufmerksamen Beobachter der Szene war
klar, daß diese Warnung identisch war mit einer früheren, die vor dem nicht
existenten "Penpal"-Virus warnte. Nachdem also auf irgendeine Art und Weise das "p"
entfernt wurde, suchte sich auch diese Hoax-Variation ihren Weg durch das Internet.
Oft sind auch genaue Anweisungen in den Warnungen enthalten, wie man das Virusprogramm
beseitigen kann, beispielsweise durch Löschen einer bestimmten Daten. Der
gutgläubige Benutzer, der dieser Anweisung folgt, schädigt erst dadurch sein
System und macht es gegebenenfalls unbenutzbar.
Wenn man die Hoax-Nachrichten der letzten Jahre betrachtet, lassen sich gemeinsame
Faktoren erkennen. Normalerweise besteht ein Hoax aus einer Kombination der folgenden
Faktoren:
- Gewarnt wird vor Viren und Trojanischen Pferden, die mittels E-Mail über das
Internet versandt wurden.
- Üblicherweise stammt die E-Mail von einer Person, manchmal von einem Unternehmen,
niemals jedoch von einer Behörde.
- Die Nachricht warnt vor dem Lesen oder "Downloaden" des Virus und verspricht Rettung
beim Löschen der den Virus enthaltenden Nachricht.
- Die beschriebene schadensstiftende Software soll unvergleichbar zerstörerische
Wirkung, quasi "gottgleiche" Macht ausüben können. Ihr wird häufig die
Fähigkeit zugeschrieben, sich über E-Mail selbständig weiterzuverbreiten.
Die beschriebene schadensstiftende Wirkung ist in der Regel weit von dem entfernt, was
technisch heute möglich ist.
- Im Verlauf der Nachricht wird der Leser mehrmals aufgefordert, jede Person im
Bekanntenkreis via E-Mail zu warnen.
- Der Hoax gibt sich unter Bezugnahme auf irgendeine anerkannte öffentliche
Institution den Anschein der Seriosität. Meistens wird die schadensstiftende
Software von der Institution als "bad" oder "worried" bezeichnet.
- Die gesamte Nachricht ist in einem technischen Sprachjargon verfaßt.
Wenn eine Nachricht als Hoax erkannt wird, sollten folgende Schritte unternommen
werden:
- Leiten sie die Nachricht nicht weiter, um zumindest an dieser Stelle die Wanderschaft
des Hoax zu unterbrechen.
- Unterrichten sie den Sender der Nachricht über die wahre Natur der von ihm
versandten E-Mail.
- Übermitteln sie ihm Informationen über den Aufbau und die Wirkungsweise
eines Hoax. Auf diese Art und Weise kann er in Zukunft ebenfalls einen zugesandten
Hoax erkennen.
- Sollten sie sich nicht sicher sein, ob eine Nachricht ein Hoax ist,
überprüfen sie auf Datenbanken von Anti-Virus-Unternehmen oder über
anerkannte Institutionen oder Fachliteratur, ob dieses Virus dort bekannt ist oder
bereits als Hoax registriert wurde (www.hoax-info.de).
|
|
|
DIENSTE
