Ratgeber PC-Sicherheit

Das sichere System

Mittwoch, 29.09.2010 | 15:03 von Arne Arnold
Keine Anhänge öffnen, den Internet Explorer meiden, Autostartfunktion für DVD-Laufwerke deaktivieren: Wer weiß, wie Viren ticken, kann sich mit simplen Maßnahmen schützen.
virus3.jpg
Vergrößern virus3.jpg
© 2014

Fast alle Anwender haben angst vor Viren, Würmern, Trojanern und anderer Malware, die sich ihr PC beim Surfen einfangen könnte. :Antiviren-Tool und Firewall reichen schon lange nicht mehr aus , um diese Angst zu vertreiben. Doch wenn Schutz-Tools nicht mehr genügen, wie kann man sich dann noch wehren?
Die Lösung: Sie konfigurieren ein System, an dem Viren gar kein Interesse haben. Bildlich gesprochen: Der Virus sieht es, schüttelt den Kopf und zieht wieder ab. Wir erklären, wie ein solches System aussehen muss und wie Sie Windows so weit wie möglich immun gegen Viren machen.

So agieren Viren
Wir wollen herausfinden, was Viren nicht mögen. Leider können wir die Schädlinge nicht direkt danach fragen. Aber wir können uns ansehen, wie sich der feindliche Code verbreitet und wie er sich ins System einklinkt. Daraus lässt sich schließen, welche Stellen, Funktionen, Konfigurationen und Techniken man auf einem System vermeiden muss. Wir untersuchen drei Viren, die im Jahr 2007 besonders verbreitet oder bedrohlich waren.

Netsky: Extrem erfolgreicher Wurm
Seit 2004 führen Schädlinge aus der Netsky-Familie immer wieder die Viren-Top-10 an. Bei Netsky ist sogar der Programmierer des ersten Schädlings bekannt: Sven J. hatte nicht nur diesen Wurm, sondern auch dessen Artgenossen Sasser programmiert. Der Quellcode von Netsky ist weit verbreitet, und viele Kriminelle erzeugen immer neue Varianten. Und so verhält sich ein typischer Netsky:
Verbreitung: Der Schädling verbreitet sich per Mail mit beliebigen Absenderadressen. Im Betreff stehen Texte wie Re: Encrypted Mail, Re: Status, Re: Notify, Re: Message Error, Re: Protected Mail Request oder Ähnliches. Im Textbereich der Mail befindet sich eine zum Betreff passende Meldung, etwa „Bad Gateway: The message has been attached“.
Der an die Mail angehängte, schädliche Code hat eine doppelte Erweiterung, zum Beispiel „.doc.exe“, „.doc.pif“, „.jpg.exe“ oder „.mpeg.scr“. Ein Einsteiger übersieht dadurch vielleicht, dass es sich um eine ausführbare Datei handelt. Der Dateiname lautet zum Beispiel The Sims 4 beta, Windows 2000 Sourcecode oder Harry Potter 5.
Der Benutzer muss den Anhang selbst starten. Lediglich bei älteren Netsky-Versionen genügt das reine Betrachten der Mail in Outlook. Verantwortlich ist eine Sicherheitslücke aus dem Jahr 2001 (Infos in Microsofts Security Bulletin MS01-020).
Aktion: Hat ein Anwender den Schädling gestartet, erstellt dieser eine EXE-Datei mit sich selbst im Verzeichnis %Windir%, etwa Vprotect.exe, dazu die DLL Userconfig9x.dll und einige weitere Dateien. Außerdem klinkt er sich in einen Startschlüssel in der Registry ein und versendet sich später per Mail über eine eigene SMTP-En-gine an Adressen, die er auf dem PC vorgefunden hat. Zudem kopiert sich der Wurm auf freigegebene Ordner im Netzwerk, da er hofft, vom Anwender am anderen PC gestartet zu werden.
Einige Varianten von Netsky löschen auch Einträge in den Run-Schlüsseln der Registry, etwa d3dupdate.exe, gouday.exe, rate.exe und viele andere. Dabei handelt es sich teilweise um andere Würmer, aber auch um Schutzprogramme.

Super-Bowl-Schädling: Ansteckend
Das Sicherheitsunternehmen Websense entdeckte im Februar 2007 einen nicht genau benannten Schädling, der sich ohne Zutun des Anwenders beim Besuch einer Website ins System einschleichen kann. Verglichen mit Netsky hat der schädliche Code zwar nur einen minimalen Verbreitungsgrad, er ist aber typisch für aktuelle Bedrohungen.
Verbreitung: Dem Angreifer war es gelungen, die Website des Dolphin Stadium in Miami zu hacken. In dem Stadion fand der Super Bowl statt – die Site wurde also von sehr vielen Anwendern aufgerufen.
Der Angreifer platzierte auf der Website den Aufruf eines Javascripts. Es nutzte Sicherheitslücken in Windows und Internet Explorer 7. Die Lücken sind in Microsofts Technet unter MS06-014 und MS07-004 beschrieben. Ist nur eine der Lücken nicht gepatcht, wird automatisch eine schädliche Datei auf den Rechner geladen (W1c.exe).
Aktion: Die Datei – ein Dropper – holt zwei weitere schädliche Dateien aus dem Internet. Eine davon trägt sich in den Run-Schlüssel der Registry zur Userinit.exe mit ein („Hkey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon“). Außerdem schaut sie alle 500 Millisekunden, ob das Antiviren-Programm Kaspersky Antivirus eine Meldung ausgibt, und versucht, diese gegebenenfalls automatisch wegzuklicken.
Der schädliche Code versucht, die Log-in-Daten des Spiels World of Warcraft zu stehlen. Die lassen sich gut verkaufen. Die Malware prüft übrigens auch, ob sie innerhalb einer virtuellen Maschine läuft, etwa Vmware oder Virtual-PC. Falls ja, unternimmt die Malware keine Aktionen. Der Grund: Antiviren-Labors lassen verdächtige Dateien in virtuellen PCs laufen. So kann man die Aktionen eines Schädlings besser beobachten.
Malware kann auf verschiedene Weise prüfen, ob sie in einer virtuellen Umgebung läuft. Zum Beispiel kann sie das CPU-Register „hypervisor present bit“ abfragen. Ist es 1, handelt es sich um eine virtuelle CPU ( weitere Infos gibt's hier ).

Zcodec: Für Erwachsene
Der Schädling Zcodec stammt bereits aus dem Jahr 2006, fand 2007 aber etliche Nachahmer. Zcodec tarnt sich als Video-Codec. Ein Codec komprimiert und dekomprimiert Filme. Für die Wiedergabe der meisten Videos im Internet muss einmal ein passender Codec installiert werden.
Verbreitung: Zcodec wird von den Anwendern freiwillig von einer Website heruntergeladen. Motiviert werden die Opfer meist durch angebliche Videos, die nur laufen sollen, wenn man den Codec installiert. Die Nachfolger von Zcodec fanden sich oft auf Erwachsenen-Sites und versprachen entsprechendes Videomaterial. Die Motivation ist dann offensichtlich besonders stark.
Aktion: Statt einen Code zu installieren, kopiert sich der Schädling ins Verzeichnis %windir%\System32 und trägt sich in einen Run-Schlüssel in der Registry ein („Hkey_Local_Machine\Software\Micro
soft\Windows\CurrentVersion\Run“).
Er trägt in die Registry auch einen neuen DNS-Server ein. Damit kann das Opfer unbemerkt auf beliebige Phishing-Sites umgeleitet werden. Schließlich kontaktiert der Schadcode einen Server und lädt weitere Malware herunter. Danach ist der infizierte PC für den Angreifer von außen steuerbar: Er kann die Registry bearbeiten, Dateien herunterladen und ausführen.
Eine Variante von Zcodec injiziert sich auch in den Internet Explorer. So wird der Schadcode immer dann geladen, wenn der Anwender seinen Browser startet.

Analyse: Das wollen Viren
Die drei Beispiele haben – stellvertretend für die meisten anderen Schädlinge – gezeigt, wie sich Viren verbreiten und wo sie sich wohlfühlen.
Als Verbreitungsweg sind nach wie vor Mailanhänge beliebt. Zusätzlich finden sich Schadprogramme aber immer öfter auf Websites, über die sie sich entweder automatisch ins System einschleusen oder vom Anwender heruntergeladen werden müssen. Bei den verseuchten Sites handelt es sich im Gegensatz zu früher nun öfter um eigentlich harmlose Sites. Die Website des Dolphin Stadium (siehe oben) ist nur ein Beispiel. Bei den Malware-Produzenten sind vor allem Social-Networking-Sites wie Myspace beliebt. Diese haben zum einen viele Besucher und sind zum anderen wegen der vielen Web-2.0-Funktionen für den Angreifer oft leichter zu hacken.
Schließlich gewinnen alte Bekannte wieder an Bedeutung: Bootsektor-Viren. Früher verbreiteten sie sich über Disketten. Heute hocken Sie auf USB-Sticks und externen Festplatten. Noch ist ihre Verbreitung allerdings gering.
Als häufigste Aktion bei Schädlingen stellen wir das Einklinken in einen Start-Schlüssel fest. Davon gibt es unter Windows 24 Stück. Zuvor haben sich die Schädlinge auf die Festplatte kopiert. Zu den beliebtesten Verzeichnissen zählen %windir% und %windir%\system32. Der Grund: Sie lassen sich leicht ermitteln und sind zudem zuverlässig auf jedem System als Pfad eingetragen.
Einige Schädlinge injizieren sich alternativ in den Internet Explorer. Auf diese Weise werden sie zwar nicht beim Systemstart geladen, aber doch immer dann, wenn der Anwender mit dem IE online geht.
Viele Schädlinge nehmen anschließend Kontakt mit einem Server im Internet auf und öffnen einen Port, damit sie auch von außen erreichbar sind. Weil sie sich von Firewalls dabei nicht stören lassen wollen, versuchen sie oft, diese zu beenden, oder tragen sich in die Liste erlaubter Online-Anwendungen ein.

Mittwoch, 29.09.2010 | 15:03 von Arne Arnold
Kommentieren Kommentare zu diesem Artikel (0)
40774