durch die Berichterstattung über Würmer, Viren, etc. in letzter Zeit wurde mir mal wieder deutlich, wie wenig auch und gerade öffentliche Medien über dieses Thema wissen. Insbesondere die Begriffe werden hier immer wieder munter durcheinandergewürfelt. Hier also mal ein kleines "Who is who" der Schadenstifter:
1.) HOAX:
Ein Hoax ist eine sehr eindringliche Warnung vor einem vermeintlich sehr
gefährlichen Virus, der anscheinend aus einer vertrauenswürdigen Quelle, wie
z.B. support@aol.com oder webmaster@t-online.de oder ähnlichem stammt. Der
HOAX hat keinerlei Schadenroutine und ist gänzlich ungefährlich.
Das Funktions-Prinzip eines solchen Hoax ist eigentlich relativ simpel. Aus
lauter Angst vor einem gefährlichen Virus mailen sich die Anwender - wie
aufgefordert - eine Warnung zu. Im Schneeballprinzip wird dabei u.U. eine
Netzlast erzeugt, die selbst sehr leistungsfähige, breitbandige Server von
großen Providern wie AOL und T-Online ins Schwitzen bringt!
Wenn alle User 1 - 2 Dutzend Mails oder mehr schreiben (durchschnittlicher
Umfang eines Adressbuches), dann kann der Server bei einigen Providern
einpacken.
Wie erkennst man einen solchen HOAX?
-Ein Hoax kommt meist aus einer vermeintlich sehr seriösen Quelle.
-Ein Hoax enthält immer die eindringliche (..."unbedingt"...) Aufforderung
allen Freunden eine Warnung zu mailen.
-Ein Hoax berichtet immer über unglaubliche Zerstörungswut des
vermeintlichen Virus
Was macht man mit einer HOAX-Mail?
-Ganz leicht, die drei "L"... löschen, lachen, Liedchen pfeifen
.
Vielleicht schreibt ihr dem vermeintlich gut meinenden Freund oder der
Freundin, der/die euch gehorsam diese Warnung zugesendet hat, einen Hinweis
auf die Harmlosigkeit dieser Mail.
2.) WURM:
Ein Wurm wird - insbesondere in den Medien - oftmals mit einem Virus
verwechselt. Einer der bekanntesten Vertreter dieser Gattung in letzter Zeit
war der Wurm "W32.BLASTER". Ein Wurm verfügt über keinerlei Schadenroutine
für den Wirtrechner auf dem er sich einnistet. Der Sinn eines Wurms ist z.B.
– wie bei W32.BLASTER - der gezielte Angriff auf einen Internet-Server durch
millionenfache gleichzeitige Anfragen.
Diesen Angriff nennt man "Denial of Service" oder kurz "DoS"-Attacke. Ein
Wurm nistet sich also in Phase 1 in Millionen Rechnern weltweit ein und
schlummert vor sich hin, ohne Böses zu tun. Dabei läuft in jedem einzelnen
befallenen Rechner ein Count Down. Zur Stunde "X" werden alle befallenen
Rechner, die online sind aktiv und rufen einen bestimmten Server (z.B:
www.microsoft.com...) auf. Durch diese konzertierte Aktion mehrerer
hunderttausend Rechner oder mehr geht der Server gnadenlos in die Knie und
ist für geraume Zeit nicht mehr erreichbar.
Der Wurm hat - anders als ein Virus - eine überaus effektive Methode der
Verbreitung. Er versendet sich selbst an alle Mailadressen aus einem
gefundenen Adressbuch. Auf diese Weise dauert es nur einige, wenige Stunden,
bis sich ein Wurm weltweit millionenfach verbreitet!
3.) VIRUS:
Ein Virus wird nicht von allein aktiv. Ein Virus versendet sich nicht
selber. Ein Virus ist ein hilfloses, törichtes kleines Stück Programmcode.
Erst wenn der Virus aktiv vom Benutzer (z.B. durch Doppelklick) aufgerufen
wird, kann er aktiv werden! Dann allerdings entfaltet er u.U. ein übles
Zerstörungspotential, das lediglich von der Phantasie des Programmierers
begrenzt wird! Von einer simplen Bildschirmmeldung politischen Inhalts bis
zum gefürchteten "format C:" ist alles drin.
Kommen wir zu der Frage: Wie kriegt der Virenprogrammierer das Opfer dazu,
sein Programm aufzurufen??? Ganz einfach: Indem er ihm vorgaukelt, sein
Programm (-> der Virus) sei ein hilfreiches Werkzeug, oder ähnliches. Da...
schon sind wir mitten unter den...
4.) TROJANER:
Wie der Name schon sagt, bewirkt das Programm (auch) etwas anderes als es
vermeintlich bewirken soll, ein trojanisches Pferd eben (ich brauche euch
die alte griechische Sage um den Fall Trojas vermutlich nicht vermitteln).
Ein bekannter Vertreter, der von Trojanern gern in euren Rechner
eingeschleust wird, ist z.B. der so genannte "BackDoorOrific". Durch dieses
Programm wird einem Angreifer ein Online-Port geöffnet, über den sich euer
Rechner "fernwarten" lässt. Damit kann ein Fremder über eine
Internet-Verbindung auf eurem Rechner jedes gewünschte Programm ausführen.
Das merkt ihr erst dann, wenn es zu spät ist...
5.) SYNTHESEN oder SYMBIONTEN:
Immer wenn verschiedene Typen dieser "MalWare" (so nennt man Software, die
das Ziel hat, Schaden anzurichten...) zusammenkommen und sog. "Synthesen"
oder "Symbionten" bilden, wird es kritisch. Ein Beispiel hatten wir mit der
Synthese "NimDa32". Dabei handelte es sich in erster Linie um einen Wurm,
der mit seinem Hang zur raschen Verbreitung an sich schon schädlich genug
wäre. Dummerweise bringt dieser Wurm auch noch ein Virus mit, das u.a.
verschiedene Dateien löscht und versucht die Festplatte zu formatieren.
Abwehrmaßnahmen:
Die meisten Vireninfektionen können mühelos mit einer gesunden Portion guten
Menschenverstandes auch ohne Top – Virenscanner und Hochsicherheitstrakt –
PC verhindert werden.
Beispiel „I-love-you.doc.vbs”:
Bei diesem Gesellen handelte es sich um eine Synthese zwischen einem Wurm
(-> effektive Verbreitung über das Adressbuch von Outlook Express) und einem
Visual Basic Script (-> Endung VBS). Dieses Script löschte u.a. Dateien mit
einer bestimmten Endung (z.B. JPG - Bilder). Jetzt aber zum Thema "gesunder
Menschenverstand": Wenn euch ein Geschäftsfreund, mit dem ihr vielleicht
noch nicht einmal beim „Du“ angekommen seid, eine Email mit dem Anhang „I-love-you“
schreibt, dann solltet ihr ihn vor dem Öffnen des Anhangs besser anrufen und
fragen, ob er noch alle Tassen im Schrank hat, anstatt erstmal
neugierigerweise den Anhang zu öffnen.
Zusammenfassend kann man folgende Regeln aufstellen:
1.) Nicht alles aufrufen ( "doppelklicken" ) das man nicht vorher
einwandfrei identifiziert hat und dessen vertrauenswürdige Quelle
zweifelsfrei feststeht.
2.) Selbstdisziplin geht vor Neugier. Dateien, die euch verdächtig
erscheinen, solltet ihr im Zweifelsfall besser gnadenlos löschen ohne sie
aufzurufen.
3.) Systemsicherheit. Dazu gehört ein aktueller Virenscanner (unter
>>aktuell<< versteht man im Allgemeinen höchstens einige Tage alt!!) und
regelmäßige Sicherheitsupdates.
Greetz,
Tunarus
Anhang zu Hoax: von Thbrueck
Eine Hoax- Email versucht auch Schaden auf dem System des User's anzurichten, indem oftmals eine Anleitung zum Schutz vor einem vermeintlichen Virus gegeben wird. Häufig wird empfohlen, irgendwelche Dateien zu löschen, die angeblich das Virus darstellen. Jedoch handelt es sich vorwiegend um wichtige Systemdateien. Das kann dann verheerende Folgen für den entsprechenden User haben, der diese Anweisungen in dümmlicher Gutgläubigkeit befolgt. Im Prinzip hat der User somit dann sein funktionierendes System selbst zerstört...
Thbrueck hat uns freundlicherweise zu diesem Thema einen Aufsatz von seiner Homepage zur Verfügung gestellt.