1352602

So kommen Viren und Würmer auf den PC

18.11.2016 | 07:41 Uhr | Thorsten Eggeling

Jeden Tag taucht neue Schadsoftware auf. Die Hersteller von Sicherheits-Software reagieren so zeitnah wie möglich auf die Bedrohungen und liefern fast immer schon am Tag der Entdeckung ein Update für die Virenscanner. Aus diesem Grund gibt es an einigen Tagen auch Aktualisierungen im Minutentakt. Für die meisten Benutzer bedeutet das einen umfassenden Schutz. Wer sich die Schadsoftware allerdings vor dem Update heruntergeladen hat, dessen PC ist infiziert und der Virenscanner möglicherweise durch die Malware deaktiviert. Auch wenn nur ein paar tausend PCs jeden Tag zum Opfer werden, lohnt sich das für die Kriminellen offenbar. Der Kampf der Sicherheitsfirmen gegen Schadsoftware ist ein ewiges Hase- und Igel-Spiel. Die Schadsoftware ist immer zuerst am Ziel. Am nächsten Tag werden neue Schädlinge in Umlauf gebracht und das Spiel beginnt von vorne.

Viren, Würmer und Trojaner - was ist der Unterschied?

Der Unterschied zwischen Viren, Würmern und Trojanern liegt in der Art ihrer Verbreitung. Ein Virus benötigt - ähnlich wie in der Biologie - einen Wirt für seinen Transport. Als Wirt kann eine Programmdatei, eine Programmbibliothek, eine Skriptdatei oder ein Dokument mit Makros dienen. Der PC-Benutzer muss eine infizierte Datei selbst auf seinen Rechner kopieren und starten. Der enthaltene Schadcode sorgt dann für die Infektion weiterer Dateien und seine eigene Weiterverbreitung beispielsweise über das Netzwerk.

Im Gegensatz dazu nutzt ein Wurm Sicherheitslücken auf dem Zielsystem aus. Er versucht aktiv, beispielsweise durch Fehler in Netzwerkdiensten, unsichere Zugänge oder Wechselmedien auf den PC zu gelangen. Das oberste Ziel eines Wurms ist, sich weiter zu verbreiten. Dazu versucht er Netzwerkdienste anderer PCs anzugreifen oder er kopiert sich selbst auf Wechseldatenträger, um von da aus andere PCs zu infizieren, etwa über die Autorun-Funktion. Ein Wurm kann sich auch selbst per E-Mail verschicken. Hier verschwimmt dann aber die Abgrenzung zum Virus, weil der E-Mail-Empfänger die erhaltene Datei selbst öffnen muss. Viele bekannte Würmer hatten zum Ziel, die IT-Infrastruktur lahmzulegen. Ein prominentes Beispiel ist der Blaster-Wurm, über den 2003 Angriffe auf windowsupdate.com ausgeführt wurden. Aktuelle Würmer richten auf den befallenden PCs oft Hintertüren (Backdoor) ein, über die Sie weitere Schadsoftware nachladen.

Auch einem Trojaner muss der Benutzer erst selbst Einlass gewähren. Er tarnt sich beispielsweise als nützliche Software oder E-Mail-Anhang. Meist arbeitet der Trojaner als „Dropper“ für unerwünschte Software. Er kann auf dem Rechner Viren unterbringen, Werbung in Webseiten einblenden oder persönliche Daten ausspionieren. Im Gegensatz zum Virus oder Wurm verbreitet sich der Trojaner nicht automatisch weiter. Er kann aber Viren enthalten, die das tun.

Der Zeus/Zbot-Trojaner sammelt Daten lädt Sie die in der Karte markierten Server hoch.
Vergrößern Der Zeus/Zbot-Trojaner sammelt Daten lädt Sie die in der Karte markierten Server hoch.

Analyse eines Virus

Bevor man Viren bekämpfen kann- oder selbst erstellen - sollte man sich historische Vorbilder ansehen. Als Beispiel soll der Jerusalem-Virus - auch als Freitag-der-13.-Virus oder PLO-Virus bekannt - dienen. Der Virus hatte das Ziel ab 1988 an jedem Freitag den 13. alle COM- und EXE-Dateien auf Disketten oder der Festplatte eines PCs zu löschen. An anderen Tagen reduzierte er die Geschwindigkeit der befallenen PCs bei der Infektion für 30 Minuten. Als die ersten Computerviren in den achtziger Jahren auftauchten, hatten sie vor allem ein Ziel: Sie wollten den Benutzer durch Vernichtung von Daten schädigen. Aktuelle Viren wollen dagegen meist Daten ausspionieren, etwa um an die Bank-Zugangsdaten des Opfers zu gelangen.

Der ursprüngliche Autor des Jerusalem-Virus ist nicht bekannt und über seine Absichten kann man nur spekulieren. Seinen Namen verdankt er der Entdeckung in Jerusalem, wo 1988 Infektionen bei den Israelischen Streitkräften aufgefallen waren. Was diesen Virus so interessant macht, sind die Prinzipien auf denen er beruht und nach denen auch heute noch Viren entstehen.

So ist der Jerusalem-Virus aufgebaut: Der Jerusalem-Virus besteht aus mehreren Bausteinen, die wahrscheinlich schon 1987 oder früher entstanden sind. Der erste und älteste Teil mit dem Namen sURIV 1 (der Text „sUriv“ kommt im Code vor), infiziert COM-Dateien. Er aktiviert sich am 1. April und gibt den Text „APRIL 1ST HA HA HA YOU HAVE A VIRUS.“ aus. Der zweite Teil, sURIV 2, kann EXE-Dateien infizieren, sURIV 3 infizierte beide Typen von ausführbaren Dateien. Der in Assembler programmierte Virus lies sich leicht analysieren und modifizieren. Deshalb eignete er sich besonders gut als Vorlage für neue Schadsoftware. Die Abbildung 2 zeigt einen Auszug aus dem disassemblierten Code des Virus mit Kommentaren (in grün) vom Autor dieses Artikels. Andere Virenautoren mussten hier nur die Werte für das Datum ändern, um den Code für ihre Zwecke einzusetzen.

Der Jerusalem-Virus war wohl der erfolgreichste Datei-infizierende Virus, den es je gegeben hat und es gab von ihm wahrscheinlich mehr Varianten als von jedem anderen Virus. Deren Schadfunktion gab aber teilweise eher zum Schmunzeln Anlass. Der Frère-Virus beispielsweise spielte an jedem Freitag den 13. das Lied Frère Jacques ab.

Einige Fehler im ursprünglichen Code des Jerusalem-Virus begünstigte seine Endeckung. So wurden EXE-Dateien immer wieder infiziert und wuchsen dadurch in der Größe. Bei bestimmten EXE-Dateien klappte die Infektion nicht und das Programm war danach unbrauchbar. Wären diese Programmierfehler nicht gewesen, würde der Jerusalem-Virus wahrscheinlich noch heute unentdeckt im Umlauf sein - jedenfalls dann, wenn das Betriebssystem DOS als sein Wirt nicht so gut wie ausgestorben wäre. Einige der Kopisten des Virus haben die Fehler beseitigt, ander haben neue hinzugefügt. Eine Variante wollte sich an Sonntagen aktivieren, also am siebten Tag der Woche. Leider oder zum Glück bedachte der Autor nicht, das bei Computern die Woche am Sonntag mit dem Tag Null beginnt und am Samstag mit dem sechsten Tag endet. Dieser Virus hat sich also nie aktiviert.

Immer wieder führen Programmierfehler in Viren und Würmern zu deren frühzeitiger Entdeckung. Ein prominentes Beispiel dafür ist der Blaster-Wurm , auch bekannt unter den Namen W32.Blaster, W32-Lovsan oder MSBlast. Er verbreitete sich über einen Fehler in der RPC-Schnittstelle (Remote Procedure Call) von Windows. Er sollte eigentlich nur am 16. August 2003 aktiv werden und einen Distributed-Denial-of-Service-Angriff (DDoS) auf die Microsoft-Update-Server starten. Der Wurm testete allerdings nicht, ob er einen Rechner schon befallen hatte. Er brachte die PCs zum Absturz, wenn diese bereits infiziert waren. Dadurch konnte er leicht entdeckt werden. Außerdem erreichte er sein eigentliches Ziel nicht, weil die abgestürzten Rechner ja für den DDoS-Angriff ausfielen.

Das Bild zeigt einen Ausschnitt aus dem Code des Jerusalem-Virus.
Vergrößern Das Bild zeigt einen Ausschnitt aus dem Code des Jerusalem-Virus.

Wo kommt die Schadsoftware her?

Was beim Jerusalem-Virus begann, setzt sich heute fort. Allerdings gibt es heute - anders als in den achtziger Jahren - kaum noch Hacker, die einfach aus Spaß an der Freude oder am Schaden ein paar Viren in die Welt setzen. Geschäftstüchtige Kriminelle erstellen Viren- oder Trojaner-Baukästen, die sie für teures Geld verkaufen oder lizenzieren. Die Kunden der Hacker können damit ständig neue Varianten produzieren und müssen nur sicherstellen, dass der Schädling nicht gleich entdeckt wird. Dazu lädt der Viren-Hersteller die Schadsoftware einfach bei Virustotal hoch und lässt sie mit allen gängigen Virenscannern prüfen. Sollte einer anschlagen, wird der Virus im Baukasten solange modifiziert, bis keine Warnung mehr erfolgt.

Ein Virus oder Trojaner alleine genügt aber noch nicht. Die Schadsoftware muss auch den Weg auf die Rechner der Opfer finden. Dafür gibt es unter anderem folgende Methoden:

Scareware: Dem Besucher einer Webseite wird vorgegaukelt, dass sein Rechner infiziert ist. Er wird in Angst und Schrecken versetzt (engl. „scare“, erschrecken) und zum Download einer vermeintlichen Antivirensoftware (fake anti-virus) aufgefordert, die das Problem lösen soll. Erst beim Start dieses Programms erfolgt die eigentliche Infektion.

E-Mail und Social Engineering: Eine E-Mail verspricht Einblicke in das Leben eines Prominenten, wirft dem Empfänger illegale Downloads vor oder informiert über einen Lotteriegewinn. Wer sich dadurch locken lässt und den E-Mail-Anhang öffnet, transportiert dabei einen Trojaner auf den Rechner.

Drive-by-Exploits/Drive-by-Downloads: Beim Besuch einer Webseite wird der PC infiziert. Das Opfer hat die Webseite entweder über eine Suchmaschine oder einen Link in einer E-Mail angesteuert. Der Webserver muss dabei nicht den Kriminellen gehören. Er kann auch selbst Opfer einer Cyber-Attacke geworden sein und ohne Wissen des Besitzers Schadsoftware verbreiten oder auf URLs mit Schadsoftware weiterleiten.

Angriffe über infizierte Webserver

Vor allem die Drive-by-Exploits beziehungsweise Drive-by-Downloads sind inzwischen weit verbreitet. Nach einem Bericht von Sophos waren diese Methoden im Jahr 2011 für 67 Prozent aller Angriffe verantwortlich. Dabei kommen Exploit-Toolkits zum Einsatz, die Betriebssystem, Browser und Browser-Plugins auf Schwachstellen prüfen. Das zurzeit am weitesten verbreitete Exploit-Toolkit ist Blackhole. Es besteht aus einigen PHP-Scripten, die beim Aufruf von Webseiten aufgerufen werden und meist Inhalte von anderen infizierten Servern in einem iFrame anzeigen. Die Scripte sind verschlüsselt und vom Betreiber des Servers nicht leicht zu entdecken. Wenn Blackhole eine ausnutzbare Schwachstelle beispielsweise in Java, Adobe Reader oder Adobe Flash Player gefunden hat, erfolgt die Auslieferung des Schadcodes auf den PC. Um die Schadsoftware einzuschleusen, werden meist Buffer-Overflows oder andere Schwachstellen ausgenutzt.

Im Prinzip ist jede denkbare Infektion möglich. In der letzten Zeit wurde Blackhole vor allem für die Auslieferung des Banking-Trojaners Zeus verwendet.

Blackhole ist sehr flexibel und wird ständig für neue Schwachstellen erweitert. Die infizierten Server lassen sich für bestimmte Zeiträume mieten und währenddessen zur Verbreitung der gewünschten Schadsoftware nutzen.

Das Backhole Exploit Kit lässt sich komfortabel steuern und individuell anpassen.
Vergrößern Das Backhole Exploit Kit lässt sich komfortabel steuern und individuell anpassen.
Die meisten Angriffe auf PC erfolgen aktuell über das Exploit-Kit Blackhole.
Vergrößern Die meisten Angriffe auf PC erfolgen aktuell über das Exploit-Kit Blackhole.

Schutz vor Viren, Würmern und Trojanern

Es ist möglich, dass einige kriminelle Hacker immer noch alleine im dunklen Kämmerlein Schadsoftware vor sich hin programmieren. Die Regel dürfte das jedoch nicht mehr sein. Vielmehr sind Computerkriminelle inzwischen in komplexen Netzwerken organisiert. Einige Mitglieder programmieren neue Viren und entwickeln Trojaner. Andere forschen nach Sicherheitslücken und verkaufen diese entweder direkt an Interessenten oder erstellen neue Module für ein Exploit-Kit. Es wird sicher auch Marketing-Spezialisten geben, die für den Verkauf oder die Vermietung der Virenbaukästen und Exploit-Kits sorgen.

Sie können den Krimiellen aber leicht einen Strich durch die Rechnung machen, wenn Sie die folgenden drei einfachen Regeln beachten:

ñ  Laden Sie keine Software aus dubiosen Quellen herunter. Vertrauen Sie nur auf Download-Angebote, die von vielen genutzt und ständig auf Schadsoftware untersucht werden.

ñ  Was für Downloads gilt, triff auch auf E-Mails zu. Öffnen Sie keine Anhänge in E-Mails von unbekannten Personen. Sie sollten aber auch bei bekannten Personen misstrauisch sein, den deren Rechner könnte verseucht sein. Vorsicht ist vor allem bei angehängten PDF-Dateien, Word-Dokumenten und EXE-Dateien geboten.

Halten Sie Ihr Betriebssystem am besten mit dem automatische Windows-Update auf dem neusten Stand.
Vergrößern Halten Sie Ihr Betriebssystem am besten mit dem automatische Windows-Update auf dem neusten Stand.

ñ  Halten Sie das Betriebssystem und die auf dem PC installierte Software inklusive Sicherheits-Software stets aktuell. Denken Sie auch an die regelmäßige Aktualisierung der Browser Plugins. Insbesondere Java, der Flash Player und der Adobe Reader waren in der letzten Zeit häufig Ziel von Angriffen.

PC-WELT Marktplatz

1352602