[Sicherheit] [Konferenzen] [Aktivitäten] [Seminare]
| 05. Augu. 2003 - 04:02:04 NM |
| Info über Viren allgemein |
|
schon etwas betagt aber trotzdem informativ Viren oft Synonym für Malicious Software (Bösartige Software, kurz: Malware). Prototypen: Viren (im engeren Sinn) sind Code-Fragmente hängen sich an andere Daten (Programme, Bootsektoren oder Dokumente) an vermehren sich bei deren Ausführung alleine nicht reproduktionsfähig Analogie zu den biologischen Viren Würmer sind komplette Programme können sich aktiv fortbewegen und vermehren relativ selten Trojanische Pferde sind Programme äußerlich wie normale Anwendungssoftware intern aber Anweisungen, die Schaden anrichten nicht selbstreproduzierend werden von Anwendern kopiert Logische Bomben sind Programmfragmente von Entwicklern in Betriebssystemen oder Anwendungsprogrammen versteckt richten bei Eintreten von bestimmten Bedingungen (beispielsweise Datum, Systemaktivität, etc.) Schaden an nicht selbstreproduzierend Hoaxes sind falsche Meldungen warnen vor nichtexistenter Bedrohung kann aufwendig sein wie echte Malware Trojanische Pferde/Logische Bomben: einfach, da nur böswilliger Code einzufügen Makroviren: einfach, da einfache Hochsprache Malware gezielt von Spezialisten programmiert: Malware für Windows NT: Resourcenkontrolle, daher geringer Schaden gefährlich nur previligierte Benutzer Word- oder Excel-Makroviren kommen vor Verschiedene Protypen von Viren: Boot-Sektor-Virus befällt Boot-Sektor von Disketten/Festplatten ersetzt Teile des Boot-Sektors durch eigenen Code oder Zeiger auf eigenen Code aktiviert durch Booten kopiert sich dann in Arbeitsspeicher infiziert von dort weitere Disketten/Festplatten Dateiviren befallen ausführbare Dateien kopieren sich selbst oder Sprunganweisung auf sich an Dateianfang ausgeführt, wenn Datei aufgerufen Dateien werden dadurch verlängert Makroviren traten als erstes bei MS Word auf bei Dokumenten, die Informationen in BASIC-ähnlichen Makros ablegen könnnen Virus-Code wird beim Laden des Makros ausgeführt kopiert sich dann auf andere Dokumente und erfüllt i.A. einprogrammierte Aufgabe gefährlich, da schnelle Verbreitung (Email!) und alte Regel:"Text-Dokumente nicht infizierbar" Beispiel: NOP:DE fünf Zeilen Word-Makro-BASIC Stealth-Viren: tarnen Anwesenheit durch Manipulation von Verzeichniseinträgen polymorphe Viren: können Code von Generation zu Generation ändern Crypto-Viren: liegen in verschlüsselter Form vor entschlüsseln sich als erste Aktion selbst Beispiele für Aktivität der Viren ("Nutzlast"): keine, aber Datenverlust durch Reproduktion möglich (Beispiel: Word-Makro-Virus NOP) Textbotschaften (Beispiel: Stoned-Virus) Akkustische Signale (Beispiel: Yankee Doodle) Buchstaben wie Blätter im Herbst vom Bildschirm fallen lassen (Beispiel: Cascade) simulieren von Hardware-Defekten (Beispiel: Parity Boot Virus) Löschen von Daten oder kompletten Festplatten Nachschlagewerke bekannter Viren finden sich unter: AVP Virus Encyclopaedia Data Fellows F-PROT Virus Descriptions Dr Solomon's Virus Encyclopedia Stiller Research Descriptions of Common Viruses SymantecVirus Research Library Schutz gegen Viren: bewußter Verzicht auf Software/Datentransfer, die durch Viren bedroht Virenscanner durchsuchen Datenmengen/Datenströme auf Muster aus Datenbank Übereinstimmung erkannt: zeigen Programm an und versuchen Virus zu entfernen Hauptanwendungen: Dateisysteme/Netzverbindungen Virenschilde laufen im Hintergrund überwachen Systemkomponenten/Betriebssystemschnittstellen suchen Anzeichen viraler Aktivität oder bekannter Virenmuster auslösenden Prozeß stoppen, bzw. Verursacher finden und entfernen Jede(s) neue Diskette/per Netzwerk geladene Programm zuerst scannen Virenschild installieren in regelmäßigen Abständen (z.B. jede Woche/Monat) alle Datenträger scannen regelmäßiges Backup Schutz gegen Würmer: nur Verbesserung allgemeiner System-/Netzsicherheit Schutz gegen Troianische Pferde: Virenschilde/-scanner finden oft auch Troianische Pferde Vorsicht bei unerwarteten Programmaufforderungen vorsichtiger Umgang mit unbekannter Software Woran erkennt man frühstmöglich Malware? Ungewöhnliche Verlängerung von Dateien Ungewöhnliche Aktivitäten von Festplatten/Diskettenlaufwerken Auffällige Verzögerungen beim Ausführen von Programmen Probleme beim Booten mehrerer Betriebssysteme Wenn sich Malware selbst zu erkennen gibt, Schaden schon eingetreten Vorgehen bei vermuteter Malware: Ruhe bewahren Rechner vom Netzwerk trennen wichtige Daten vom Speicher auf Platte sichern Rechner ausschalten Booten des Rechners durch saubere Systemdiskette (Kaltstart nach mindestens 10 Sekunden) Check der Filesysteme und des Boot-Sektors Suche nach der Quelle (Netz, Mail, Disketten) und Bekämpfung Information von weiteren möglichen Betroffenen Beispiele von für Malware anfälliger Software Browser, die ActiveX unterstützen MS Office (Makroviren) PDF-Viewer Ergänzung dieser Seite: Eine hervorragende Linksammlung zu Software/Informationsseiten/Neuesten Viren findet man bei VTC Hamburg, dem Viren Test Center des Fachbereichs Informatik der Universität Hamburg unter Leitung des Computersicherheitsexperten Prof. Dr. Klaus Brunnstein. |
| 05. Augu. 2003 - 03:51:56 NM |
| .doc Word Dokumente versenden? |
|
Hallo Surfer, weil ich letztens 'ne Mail von einem Freund bekommen habe mit einer ".doc" Datei - hier eine Liste von Datei Typen die man auf keinen Fall öffnen sollte wenn die Herkunft bzw. Virenfreiheit nicht 100% sicher sind, also der Absender diese datei nicht ausdrücklich bewust an dich/Sie geschickt hat (mittlerweile muss man hier fast alle Anhänge einschliessen): Datei- Endungen (müssen eingeschaltet sein!) Datei-Typ Inhalt .doc = Word Dokument (z.B. MeinIntimstesGeheimnis.doc) kann Makros* enthalten - falls Sie die Datei doch unbedingt öffnen wollen tun Sie das z.B. mit Wordpad (write.exe im Windows Verzeichnis Suchen), dann werden keine Aktiven Inhalte ausgeführt. .bat = Batch Datei Stapelverarbeitung von ausführbaren Befehlen .vbs = Visual Basic Script Stapelverarbeitung von ausführbaren Basic Befehlen .exe = Programm mit welchem Inhalt auch immer (Kann z.B. in einer Kapsel ein gutes und ein schlechtes Prog enthalten) .eml = EMail neuerdings fiese EMail Anhänge; kann Makros enthalten .pif / .scr Siehe BadTrans .xls = Excel - Datei kann Makros (und alles andere) enthalten .shs = SHS-Dateien sind sogenannte "Scrap Files" Diese dienen dazu, OLE-Objekte in Dateien zu speichern (OLE ist verantwortlich dafür, indem z.B. in Word eine Excel-Tabelle eingebunden werden kann). Man kann sehr einfach ein SHS-File erstellen und z.B. mit einer EXE oder mit einem VB-Script "füllen", dass bei der Ausführung des Shell Scrap Files dann ausgeführt wird. Dummerweise kann man auch das Icon einer SHS-Datei "frei" wählen. "Ideal" also für dunkle Machenschaften. SHS-Dateien können z.B. mit packager.exe oder einfach Notepad.exe erstellt werden, die jedes Windows-System von Haus aus mitliefert. Vor allem für weniger geübte Windows-Anwender können gerade SHS-Dateien so gefährlich werden. Die Endung ist vielen Usern nicht bekannt und macht somit neugierig zu sehen, was sich hinter dieser Datei verbergen könnte. .pl und .class = falls Pearl oder Java installiert sind mit welchem Inhalt auch immer (Kann auch z.B. in einer Kapsel ein gutes und ein schlechtes Prog enthalten) *Makros sind kleine Hilfs-Programme, die die gleichen Funktionen wie Viren haben können! Wichtig: AntiVirenprogramme vor dem Öffnen einer fremden Datei updaten und die Datei scannen. |