Marcos Viren Page

Die schlimmsten Computer-Viren

2006-07-05T21:25:42Z

Dieser englische Artikel beschreibt die 10 Computerviren aller Zeiten, die den meisten Schaden anrichteten.

]]> Spitzenreiter ist der CIH Virus von 1998 mit geschätzten 20 bis 80 Millionen USD Schaden:
The 10 Most Destructive PC Viruses Of All Time

Skype Sicherheitslücke

2006-06-07T18:55:44Z

Eine Sicherheitslücke in Skype ermöglicht es Angreifern beliebige Dateien auszulesen.

]]> Zur Story bei Computerworld oder einfach gleich Skype updaten.

1. Handy Virus 2 Jahre alt

2006-06-07T18:52:41Z

Der erste ernstzunehmende Virus für Handys ist nun 2 Jahre alt.

]]> Zur Story bei ZDNet

Virenscanner Avast bis 4.7.827 angreifbar

2006-06-03T21:04:21Z

Siehe Beschreibung der Sicherheitslücke.

]]> Wenn ihr die Avast Home Edition benutzt, installiert bitte die neuste Version!

Virus Welt-Karte

2006-05-29T21:46:39Z

F-Secure bietet eine ständig aktualisierte Welt-Karte mit Virus-Aktivitäten.

]]> Hier der Link zur Deutschland-Karte.
Die Daten gewinnt F-Secure aus seinem Online Scan.

Gefälschte Windows-Update Mail

2006-05-29T18:36:10Z

"Achtung! Wichtige Nachrichten von Microsoft Windows Update!" ist NICHT von Microsoft.]]> heise.de

Gefälschte eBay-Rechnungen unterwegs

2006-05-29T18:29:01Z

Ebay versendet keine Attachments, stattdessen ist der TROJ_YABE.G mit dabei.

]]> Mehr Informationen bei heise.de und eine technische Beschreibung bei Trend Micro.

Sicherheitslücke in WordPress Blogsoftware

2006-05-28T23:01:33Z

Mehr Infos bei Heise.de.

Symantec Antivirus Corporate Edition Bugfix

2006-05-28T22:57:25Z

Symantec stopft eine kritische Sicherheitslücke in seinen Antivirus Corporate Edition Produkten.

]]> Mehr Informationen zur Sicherheitslücke, direkt zu den Patches.

Der erste PC-Virus kam aus Pakistan

2001-10-19T05:25:46Z

Den Begriff "Computer Virus" gibt es wohl seit 1983 - damals wurde er erstmalig von Fred Cohen benutzt, der bei der Firma Digital Equipment Corporation ein paar Experimente durchführte. Der allererste Virus, der tatsächlich auch verbreitet wurde, also in the wild anzutreffen war, war aber schon 1981/82 unterwegs: Elk Cloner für den Apple II.

]]> 1986 traf es dann erstmalig den PC: Der Brain Virus, ein Bootsektor-Virus, der speicherresident war. Seine Entstehungsgeschichte war kurios. Um sich gegen Raubkopien zu wehren, programmierten die beiden Pakistanis Basit und Amjad Farooq Alvi den eigentlich völlig harmlosen Schädling. Ihre kleine Softwarefirma hieß Brain Computer Services und war bald in aller Welt bekannt, denn in dem Virus steckte ihre vollständige Adresse samt Telefonnummer.


"Welcome to the Dungeon (c) 1986 Basit * Amjad (pvt)
Ltd. BRAIN COMPUTER SERVICES 730 NIZAB BLOCK ALLAMA IQBAL
TOWN LAHORE-PAKISTAN PHONE :430791,443248,280530.
Beware of this VIRUS.... Contact us for vaccination............. !!"

Mit solch einer Wirkung hatten die Brüder natürlich nicht gerechnet. Technisch war der Virus allerdings ziemlich interessant: "Brain" überschrieb den Bootsektor einer Diskette und fing dann alle Zugriffe auf den Bootsektor ab und leitete diese auf eine Kopie um, die er vorher angefertigt hatte. Auf diese Weise war er praktisch nicht zu entdecken. Ansonsten änderte er lediglich die Bezeichnung der Diskette auf (c) Brain und stellte sich dann resident in den Speicher, um auf neue Disketten zu warten, die noch nicht infiziert worden waren.

Später gab es noch einige Varianten des Brain-Virus, die unter anderem nicht nur auf Disketten beschränkt waren. Die Absichten, der Programmierer von Brain Limited waren eigentlich keine bösen. In den Vereinigten Staaten wurde der Virus jedoch als Angriff auf die amerikanische Computer-Kultur gewertet. Das Time-Magazine versuchte herauszufinden, woher der Angriff kam - in Pakistan war sich aber noch keiner bewusst darüber, dass der Virus überhaupt so weit gekommen sein könnte.

Die Berichterstattung, die dann folgte, war alles andere als solide recherchiert - an der Wahrheit, nämlich, dass alle Infizierten durch Raubkopien an den Virus gelangt waren, war nun mal keiner interessiert. Brain Computer Services wurde kurz darauf zum ersten PC-Service Unternehmen in Pakistan - heute gibt es sie immer noch, allerdings ist das neue Tätigkeitsfeld natürlich das Internet.

Gefährliche Dateien

2001-08-14T05:28:16Z

Datei-Typen gibt es wie Sand am Meer und durch neue Sicherheitslücken werden immer mehr zur Bedrohung. Lesen Sie hier, welche gefährlich sind und welche nicht.

]]> Als Anfang August 2001 der erste PDF-Wurm auftauchte, war es wieder eine Erweiterung mehr für die Liste - auch PDF-Dateien können jetzt Schadensfunktionen enthalten. Zum Glück in diesem Fall allerdings nur, wenn Adobes Acrobat installiert ist. Mit dem kostenlosen Acrobat Reader besteht (noch?) keine Gefahr.

Jeder Computer-Benutzer muss heute sehr vorsichtig sein mit der Entscheidung, welche Email-Attachments er öffnet und welche nicht. Die Epidemie des Sircam Wurms hat gezeigt, dass manche noch nicht vorsichtig genug handeln. Leider lassen auch viele Benutzer immer noch nicht die Erweiterungen aller Dateien anzeigen. Dann wird eben in einer Mail statt Virus.txt.scr nur Virus.txt angezeigt. Um das zu ändern, wählt man im Explorer "Ansicht/Ordneroptionen" und überprüft am Reiter "Ansicht" die Option "Dateinamenerweiterung bei bekannten Dateitypen ausblenden" - diese darf nicht angewählt sein (siehe Bild)! SCR ist übrigens die Endung für einen Windows-Bildschirmschoner (SCReensaver), eigentlich eine umbenannte EXE-Datei und damit sehr gefährlich.

Böse Dateitypen

Die folgenden Dateien bezeichne ich als böse, denn sie können dem System Schaden zufügen. Bei solchen Dateien ist also immer Vorsicht geboten, speziell, wenn sie von Unbekannten oder aus unsicheren Quellen stammen.

COM, EXE, SCR, BAT, CMD, PIF, LNK, HTA, HTM(L), VBS, VBE, JS, JSE, VXD, CHM, EML
Diese Dateien werden von Windows direkt ausgeführt und können Viren oder Trojaner enthalten

DOC, XLS, PPT, PPS, MDB
Microsoft Office Dateien können schadhafte Scripte enthalten.

PDF, RTF
Diese beiden galten lange als sicher, können aber leider mittlerweile auch Schädlinge enthalten.

Gute Dateitypen

Von diesen Dateien geht zur Zeit keine Bedrohung aus. Das bedeutet leider nicht, dass nicht irgendwann doch eine Sicherheitslücke entdeckt wird und einzelne gefährlich werden. Generell sind diese Dateitypen jedenfalls beim Versenden von Attachments vorzuziehen!

BMP, JP(E)G, GIF, MP3, MP(E)G
Multimediadateien sind bisher zum Glück ungefährlich.

TXT, WRI
Zwei Formate, um Text zu verschicken.

ZIP
ZIP hier zu erwähnen, ist natürlich ein Risiko, denn in einer ZIP-Datei kann jede andere Datei stecken. Allerdings sind besonders verschlüsselte ZIP-Archive sicher vor Manipulation und vor allem sicherer als selbstextrahierende Archive (EXE).

Fazit:

Häufig sind reine Text-Mails genauso aussagekräftig, wie bunte HTML-formatierte Mails mit MS-Word-Attachment. Zudem sind diese eben ungefährlich und belasten die Ressourcen weniger. Wenn es nicht unbedingt sein muss, versuchen Sie bitte, sich auf die ungefährlichen Typen zu beschränken und meiden sie die gefährlichen. Natürlich sind die oben genannten Bösewichter meist nicht infiziert, man sollte aber auf Nummer sicher gehen und einen Virenscanner benutzen.

Wir basteln uns einen Virus

2001-05-20T05:33:18Z

Froschaugen, Fledermausohren und Giftkraut sind was für Hexen - Viren 'kocht' man anders.

]]> Früher waren Virus-Programmierer noch echte Spezialisten, die in Assembler mit den Bits nur so jonglierten. Heute ist das anders: Mit einem "Virus Construction Kit" kann wirklich jeder User sein eigenes "Monster" erschaffen und auf die Menschheit loslassen. Das ist in etwa so einfach, als würde man in seiner Textverarbeitung einen Brief schreiben. Die Anzahl der für diesen Zweck verfügbaren "Viren-Generatoren" ist beängstigend. Nahezu für jedes Einsatzgebiet gibt es spezielle Tools, mit denen sich vom "harmlosen" Gag-Virus bis hin zum ausgefeilten Trojaner so ziemlich jeder nur denkbare Schädling ohne großartige Programmierkenntnisse zusammenwürfeln lässt. Der bekannteste Vertreter dieser "Virenküchen" ist der Vbs WG (Visual Basic Script Worm Generator).

Der Vbs WG fand zum Beispiel beim unliebsamen "Kournikova-Virus" und dem "Homepage-Wurm" Verwendung , der erst kürzlich zahlreiche Rechner weltweit infizierte. Auf dem Hauptbildschirm kann man seinem Wurm einen Namen geben und sich mit einem tollen Pseudonym als Urheber kenntlich machen. In den Untermenüs wird das Verhalten des Wurms nach der Infektion eines Systems festgelegt:

Soll der Wurm bei jedem Start aktiv sein?
Was steht in den infizierten Mails, die wie immer an alle Adressen im Outlook-Adressbuch verschickt werden?
Soll auch Mirc (das bekannteste Windows-Programm für Internet Relay Chat - IRC) infiziert werden?
Welche Dateien werden infiziert?
Was für Schaden (Payload) soll der Wurm anrichten?

Es gibt allerdings keine gefährlichen Optionen - man kann lediglich mit einigen Aktionen für Verwirrung auf dem infizierten System sorgen. Das kann zu einem bestimmten Datum oder zufällig geschehen. Wer sich allerdings etwas mit VBS auskennt, hat den Code recht schnell um die für das System bedrohenden Funktionen erweitert, viel braucht es dafür nicht.

Ein paar Extras wie Verschlüsselung oder Lösch-Schutz können ebenfalls hinzugefügt werden.
Zum Schluss auf "Generate" klicken und fertig ist ein neuer Wurm!

Programmierer am Pranger

Bei der ersten Ausführung des Programms blinkt ein Text auf, dass sich der Autor von allen Schäden distanziert und jeder für die Folgen selbst verantwortlich ist. Die Frage ist, ob man es sich so einfach machen kann, schließlich ermöglicht der Vbs WG wirklich jedem User mit einem Windows-Computer, einen Wurm auf die Internet-Gemeinde loszulassen. Auch wenn man meint, dass der Fall eigentlich klar auf der Hand liegt und geneigt ist, dem Programmierer der "Viren-Küche" die Schuld anzulasten, sollte ein durch diese Software erschaffener Virus große Schäden verursachen, gibt es einen vergleichbaren Fall, der sich anders verhält: Die Waffenindustrie wird auch nicht für die Opfer verantwortlich gemacht, die durch Messer und Pistolen verletzt oder getötet werden.

Ich bitte alle Leser dieses Artikels, das erlangte Wissen nicht zu missbrauchen, dies ist ein reiner Tatsachenbericht, der die Problematik "Viren" und deren "Entstehung" beleuchtet und kritisch die negative Entwicklung eben dieser als Warnung veranschaulichen soll.

Die WebBugs sind los!

2001-03-12T05:36:03Z

Der gläserne Surfer wird Realität: Selbst Webseiten und Newsletter bedrohen die Privatsphäre des Users im Internet!

]]> WebBugs ermöglichen dem Betreiber einer Webseite oder dem Versender einer E-Mail, ein ziemlich genaues Profil des Surfers zu erstellen und dieses direkt mit einer Mail-Adresse in Verbindung zu bringen.

Woran kann man WebBugs erkennen?

Bei WebBugs handelt es sich um kleine Bilder, die in Internetseiten oder HTML-E-Mails versteckt werden. Sie sind nicht leicht zu erkennen, denn man kann WebBugs nicht von normalen Bildern unterscheiden. Zu sehen sind sie nur im HTML-Quellcode:

Diesen WebBug erhielt ich vor kurzem in einer E-Mail von service@tvtoday.de. Ich konnte ihn erkennen, da meine Firewall mich warnte, dass mein Mail-Programm gerne auf das Internet zugreifen möchte (Port 80). Normalerweise greift diese Software nur auf die Ports 25 (SMTP - Mail Versand) und 110 (POP3 - Mail-Empfang) zu.
Auch sonst werden WebBugs von durchaus renommierten Firmen benutzt. Die Internet-Werbe-Firma Doubleclick ist z.B. in Verruf geraten, da sie besonders viele Informationen zu sammeln scheint.
Meist handelt es sich bei WebBugs um JPG- oder GIF-Bilder, die nur im HTML-Quelltext zu sehen sind. Die andere Möglichkeit, sie zu entdecken, ist also mit einer Personal Firewall oder einem Filter-Programm (dazu später mehr).

Welche Informationen werden preisgegeben?

Wie im angeführten Beispiel zu sehen ist, sind die WebBugs nicht wirklich kleine Bilder, sondern sie rufen Scripte auf (häufig auch auf speziellen Servern, die nur dazu da sind, Ihre Informationen zu sammeln).
Mit so einem Script kann man eine ganze Menge herausbekommen: Von welcher Seite der Surfer kam (Referrer), die IP-Adresse und den Provider, den Browser und dessen Version, wie lange welche Seite wann betrachtet wurde und die Werte von gesetzten Cookies. Bei einer E-Mail ist es zudem noch möglich zu erfahren, an wen und wie oft diese weitergeleitet wurde und zu allem Übel bleibt auch der Inhalt nicht verborgen. Denkbar wäre zum Beispiel ein Szenario, in dem der Chef die Kommentare seiner Mitarbeiter lesen kann. Auch eine Word-Datei könnte genau verraten, wie oft sie geöffnet wurde und von wem.

Wie gehen die spionierenden Firmen vor?

Als erstes gilt es die E-Mail-Adresse des Surfers herauszubekommen. Dazu wird eine Mail gesendet oder der Surfer gibt seine Adresse freiwillig in ein Formular ein. Die Adresse wird dann als Cookie auf dem Rechner des Surfers gespeichert und kann so jederzeit vom Webserver abgerufen werden. Gelangt jetzt der Surfer wieder auf eine Seite, die so einen Cookie gesetzt hat, weiß der Server sofort mit wem er es zu tun hat und kann munter das Interessen-Profil vervollständigen.

Wie kann ich mich schützen?

Eine Personal Firewall ist für den sicherheitsbewussten Surfer ein Muss.
Mit Filtersoftware wie dem kostenlosen Webwasher (jetzt auch für Linux!), einem Spinoff der Firma Siemens, kann man sich vor unerwünschten Werbebildchen und der Preisgabe von Informationen schützen.
Cookies spielen eine zentrale Rolle für die WebBug-Datensammler. Cookies jedoch komplett abzuschalten, ist nicht praktikabel, da manche Shopping-Angebote dann nicht mehr funktionieren. Also sollte man regelmäßig nicht benötigte Cookies löschen. Das geht sehr einfach mit dem kostenloses CookiesManager.
Benutzen Sie Antivirus-Software. Viele Programme, die Ihre Privatssphäre bedrohen, werden auch von Antivirus-Programmen erkannt.
Schätzen und schützen Sie Ihre privaten Daten und geben Sie sie nur dann im Internet weiter, wenn Sie der Firma vertrauen, die sie haben will.

Wie wichtig der Schutz vor den kleinen Spionen ist, zeigte eine Vorführung auf dem "Congressional Privacy Caucus", einer Art Treffen von Internet-Privacy-Fachleuten:
Hier wurde erfolgreich bewiesen, dass es mit Hilfe von WebBugs möglich ist, beliebige Daten vom Rechner eines Surfers einzusehen.
Im konkreten Fall verschickte eine präparierte Webseite alle Daten des Outlook-Adressbuches (1800 Namen, E-Mail-Adressen und Telefonnummern) eines Rechners an einen fremden Server, ohne dass die Transaktion zu bemerken war. Dazu musste lediglich die Webseite geöffnet werden. Wie das genau funktionierte, verrieten die Experten jedoch nicht. Den ganzen Bericht (auf englisch) können Sie bei Newsbytes nachlesen.

Aus dem Leben eines Computervirus

2001-02-11T05:38:10Z

Das Leben eines Computervirus beginnt mit seiner Programmierung und endet mit der kompletten Auslöschung. Begleiten Sie einen Virus auf seinem Weg.

]]>

Erschaffung

Ich will jetzt nicht von der "Geburt" eines Virus sprechen, aber am Anfang setzt sich jemand hin und programmiert ihn. Brauchte man dafür früher noch tiefe Systemkenntnisse und Programmiererfahrung, gibt es heute auch sogenannte Virus-Kits: Nach dem Baukastenprinzip kann man sich seinen "eigenen" Virus zusammenklicken und auf die Menschheit loslassen. Zum Glück werden auch solche Kreationen meist von den Antivirenscannern erkannt.

Vermehrung

Ist der Virus einmal in freier Wildbahn ("in-the-wild") unterwegs, d.h. auf anderen Rechnern angelangt, beginnt er sich zu vermehren. Das ist schließlich die Natur der Viren. Im Falle eines Virus bedeutet Vermehrung, dass sein Code von einer Datei in eine neue kopiert wird. Manche Virusarten (besonders Würmer) benötigen allerdings keine Wirts-Dateien - sie verbreiten sich nur durch Replikationen. Deshab sind sie meist auch nur einmal auf einem Rechner zu finden. Je länger die Vermehrungsphase andauert, desto weiter kann sich der Virus verbreiten (Inkubationszeit).

Aktivierung

Die meisten Viren haben eine sogenannte Schadensroutine - diese ist es auch, die Viren gefährlich macht. Es gibt natürlich auch Viren ohne eine solche Überraschung - doch auch solche Arten verursachen Schäden, denn sie verbrauchen Ressourcen oder können z.B. Mailserver verstopfen wie der ILOVEYOU-Virus. Die Aktivierung der Schadensroutine ist meist an ein bestimmtes Ereignis gekoppelt, etwa ein bestimmtes Datum (z.B. den Geburtstag Michelangelos) oder eine Benutzeraktion (z.B. den Aufruf eines bestimmten Programms).

Entdeckung

Nicht jeder Virus wird nach der Aktivierung entdeckt (manche auch gar nicht), aber meistens sind es die Auswirkungen der Schadensfunktion, die auffallen: Zerstörte oder gelöschte Dateien oder Beschwerden über Mails, die man selbst nie verschickt hat. Ist der Virus den Antivirus-Software-Herstellern schon bekannt, kann er mit der üblichen Software entfernt werden. Das ist fast immer der Fall, denn meist sind die einzelnen Viren schon über ein Jahr bekannt, bevor sie erstmals zur Gefahr werden. Ist der Schädling noch nicht auffällig geworden, muss er von den AV-Labors analysiert und in die Definitionen der AV-Programe aufgenommen werden.

Auslöschung

Wenn genügend User aktuelle AV-Software auf ihrem Computer haben, die den Virus entfernen oder eine Infektion verhindern kann, wird der Virus nach und nach ausgelöscht. Allerdings ist noch kein Virus völlig verschwunden, doch die alten sind kaum eine Bedrohung. Über 10000 Arten sind bereits bekannt, doch es kommen jeden Monat ca. 200 neue hinzu. Was natürlich noch besser hilft als die beste AV-Software, sind gut informierte User, die sich gar nicht erst infizieren lassen!

Die Rettungs-CD Anleitung

2000-09-27T05:41:13Z

Viele verbreitete Viren befallen häufig die Systemdateien. Mit einer Rettungs-CD bringen Sie Ihren Rechner trotzdem wieder zum Laufen.

]]> Die Zeiten von Bootdisketten sind eigentlich vorbei, denn auch von einer CD kann man booten. Die Vorteile: Es geht schneller, es passt wesentlich mehr drauf und sobald die Daten mal auf der CD sind, können sie nicht mehr von Viren infiziert werden. In der folgenden Anleitung verwende ich das Programm Nero Burning Rom (es sollte aber auch mit jeder anderen ordentlichen Brenn-Software gehen).

Zum erstellen einer bootfähigen CD benötigt man als erstes doch eine Bootdiskette. Darauf sind folgende Dateien notwendig: FORMAT.COM, FDISK.COM, REGEDIT.EXE, EDIT.COM, SCANDISK.EXE, MSCDEX.EXE, SYS.COM, ATTRIB.EXE, KEYB.COM, KEYBOARD.SYS, HIMEM.SYS, EMM386.EXE, SMARTDRV.EXE & CD-Treiber(.SYS).
In der CONFIG.SYS dann Himem, Emm386 und den CD-Treiber laden, in die AUTOEXEC.BAT gehören Keyboard, Mscdex und Smartdrv.
Wenn alles so weit fertig ist, sollte die Diskette schreibgeschützt werden und dann mit einem aktuellen Virenscanner gescannt werden. danach muss sie auf jeden Fall mal ausprobiert werden (wichtig: auch das CD-Rom muss funktionieren).
Als nächstes stellen wir den Inhalt der CD zusammen: Ich empfehle F-Prot für DOS, denn damit lassen sich auch Windows-Viren entfernen ohne das Windows gestartet werden muss (das geht dann evtl. vielleicht gar nicht), es ist nicht sehr groß und dazu noch kostenlos. Richtig komfortabel wird die CD noch mit Powerquests Partition Magic (Die älteren Versionen sind teilweise recht günstig zu haben, kommen aber evtl. mit den neusten File- Systemen nicht klar). Sehr praktisch ist es auf so einer CD auch gleich ein Image seiner Windows-Installation zu haben, falls die nicht mehr zu Retten ist. Das geht mit Programmen wie Norton Ghost oder Powerquest Drive Image. Wichtig bei allen Programmen ist, dass Sie unter DOS lauffähig sein müssen und am besten auch direkt von CD (also schon ausgepackt) - am Besten vorher testen.
Jetzt können wir zum Brennen schreiten: Bei Nero wählen wir "CD-ROM (Boot)" als neue Zusammenstellung. Bei Startoptionen "Startbares log. Laufwerk" A:\ (Diskette schon mal ins Laufwerk legen). Die Dateioptionen sollten wie folgt aussehen: ISO-Level 1, Zeichensatz DOS, Mode 1 und die ISO-Restriktionen nicht lockern. Dann auf Neu klicken und die bei 2. erwähnten Programme hinzufügen. Jetzt kann gebrannt werden!
Um die CD zu benutzen, muss der Computer evtl. noch angepasst werden, da das Starten von CD-Rom oft standardmäßig nicht aktiviert ist. Also im BIOS unter "Bios Feature Setup" die Option "Boot Sequence" auf "CDROM, C, A" stellen (oder SCSI statt CDROM, wenn Du ein SCSI-CD-Laufwerk nutzen willst, das geht aber oft nicht ganz so einfach). Normalerweise sollte diese Option übrigens auf "C only" stehen um versehentliches Booten von Diskette zu verhindern. Jetzt kannst Du die CD testen und probehalber mal das System unter DOS scannen - ist auch ein Image drauf sollte dessen Integrität ebenfalls geprüft werden.

Mit so einer CD ist man auf der sicheren Seite und muss bei einem Virus-Befall nicht in Panik ausbrechen. Wenn von der CD gebootet wird ist übrigens die Bootdiskette als Laufwerk A: verfügbar (allerdings schreibgeschützt), das normale Diskettenlaufwerk lässt sich aber immer noch als Laufwerk B: ansprechen. Der eigentliche CD Inhalt ist unter dem Buchstaben zu finden, den Mscdex beim Starten anzeigt. Ich empfehle diese Anleitung auszudrucken, sollte es noch Probleme geben, schreibt mir einfach über das Feedback-Formular.