1 / 38

Computerviren

Computerviren. Viren, Würmer, Trojanische Pferde, Hoaxes, Zombies, 0190-Dialer. Gliederung. Der Computer Geschichte der Computerviren Virenautoren Viren Würmer Trojanische Pferde Hoaxes Zombis 0190-Dialer Tendenzen Schutz. 1. Der Computer. 1.1. Boot. BIOS sucht Bootsektor

rocio
Download Presentation

Computerviren

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Computerviren Viren, Würmer, Trojanische Pferde, Hoaxes, Zombies, 0190-Dialer

  2. Gliederung • Der Computer • Geschichte der Computerviren • Virenautoren • Viren • Würmer • Trojanische Pferde • Hoaxes • Zombis • 0190-Dialer • Tendenzen • Schutz jochen.koubek@hu-berlin.de

  3. 1. Der Computer jochen.koubek@hu-berlin.de

  4. 1.1. Boot • BIOS sucht Bootsektor • BIOS lädt Betriebssystem (OS) • OS lädt Treiber • Desktop anzeigen • Startup-Programme ausführen jochen.koubek@hu-berlin.de

  5. 2. Geschichte • 1949 v. Neumann: Selbst-reproduzierende Programme • 1975 Brunner:„Tapeworm“ • 1984 Fred Cohens Doktorarbeit • 1986 „Brain“-Virus • 1987 Erster VirenscannerMcAffee, 19 Viren. • 1988 Internet-Worm • 1992 „Michelangelo“ • 1999 „Melissa“ • 2000 „I Love You“ jochen.koubek@hu-berlin.de

  6. 3. Virenautoren: Motivation • Männlicher Nerd, unter 25 Jahre • Machtgefühl • Reichweite überprüfen • Geltungsdrang in der Szene • Vandalismus • Sabotage • Erpessung jochen.koubek@hu-berlin.de

  7. Phantasmen • Cyber-Punk • Über-Cracker • Omnipotenz • Technozid Dark Angel's Phunky Virus Writing Guide ---- ------- ------ ----- ------- ----- Virii are wondrous creations written for the sole purpose of spreading and destroying the systems of unsuspecting fools. This eliminates the systems of simpletons who can't tell that there is a problem when a 100 byte file suddenly blossoms into a 1,000 byte file. Duh. These low-lifes do not deserve to exist, so it is our sacred duty to wipe their hard drives off the face of the Earth. It is a simple matter of speeding along survival of the fittest. jochen.koubek@hu-berlin.de

  8. Phantasmen: Quellen • Science-Fiction, Techno-Fiction(Viren als ultimative Waffe im Kampf Mensch/Maschine) • Medienkonstruktionen (Karl Koch, Kevin Mittnick) • Wahl der Metaphern • Vermenschlichung des Computers • Maschinisierung des Menschen jochen.koubek@hu-berlin.de

  9. 4. Virus • Programm • Selbst-Reproduzierend • Infizierend • Mit oder ohne Schadensfunktion jochen.koubek@hu-berlin.de

  10. Klassifikationen • 4.1. Klassifikation nach Wirt • 4.2. Klassifikation nach Schaden • 4.3. Klassifikation nach Funktion jochen.koubek@hu-berlin.de

  11. 4.1. Klassifikation nach Wirt • Bootsektor (Floppy) • Master Boot Record (HD) • Programm • Multipart (Boot + Datei) • Dokument (Makro) • [Email-Attachment] jochen.koubek@hu-berlin.de

  12. Dateiviren-Arbeitsweise +----------------+ +------------+ | P1 | P2 | | V1 | V2 | +----------------+ +------------+ The uninfected file The virus code +---------------------+ | P1 | P2 | P1 | +---------------------+ +---------------------+ | V1 | P2 | P1 | +---------------------+ +-----------------------------+ | V1 | P2 | P1 | V2 | +-----------------------------+ jochen.koubek@hu-berlin.de

  13. Datei-Virus-Aufbau • Signatur • Infektion (Replikator) • Tarnmechanismus (Concealer) • Destruktor (Bomb) • Programmfortsetzung jochen.koubek@hu-berlin.de

  14. Dateivirus-Ausführen • Aufruf des infizierten Programms (z.B. Autostart) • Laden des Programms • Start des Programms • Ausführen des Virus • Fortsetzung des Programms jochen.koubek@hu-berlin.de

  15. Macroviren-Aufbau • Autoexec-Macro infiziert Normal.dot • FileSaveAs, FileSave, FileOpen, ToolsMacros • Schadensroutine jochen.koubek@hu-berlin.de

  16. Macroviren-Ausführen • Laden des infiziertenNormal.dot • Laden eines sauberen DokumentsFileOpen, AutoOpen • Infizieren des Dokuments • Ausführen der SchadensfunktionPayLoad jochen.koubek@hu-berlin.de

  17. 4.2. Klassifikation nach Schaden • Ressourcenverbrauch • Technische: Speicher, Prozessorzeit • Menschliche: Arbeitszeit, Reparatur • Vermehrung • Destruktiv • Absichtlich: Logische Bomben • Unabsichtlich • Ziel (z.B. Anti-Virus-Virus) jochen.koubek@hu-berlin.de

  18. Schaden • Nachrichten -> • Musik • Datenverlust -> • Datenspionage • Partielle Ausfälle • Hardwareausfälle hllc-dosinfo jochen.koubek@hu-berlin.de

  19. 4.3. Klassifikation nach Funktionsweise • Resident (TSR) • Überschreibend (Overwriting) • Getarnt (Stealth) • Verschlüsselt • Polymorph jochen.koubek@hu-berlin.de

  20. Virenmythen • Autonome Entitäten • Plattformunabhängig • Unmittelbare Wirkung • Universelle Hintertür • Subversives Herrschaftswissen Quellen: s.o. jochen.koubek@hu-berlin.de

  21. 5. Würmer • Selbst-reproduzierend • Nicht-infizierend • Mailwürmer • Attachments • Stealth (loveletter.txt.vbs) • MAPI jochen.koubek@hu-berlin.de

  22. Epidemie Code Red: Do, 19 Juli 2001 jochen.koubek@hu-berlin.de

  23. 6. Trojanische Pferde • Nicht-Reproduzierend • Nicht-Infizierend • Verdeckte Schadensroutine • Password Sniffer • Backdoor (Back Orifice) • dDOS jochen.koubek@hu-berlin.de

  24. 7. Hoaxes/Kettenbriefe Soziale Viren • Aufbau • Aufhänger • Drohung • Aufforderung • Erkennungsmerkmale • Technische Sprache • Glaubwürdigkeit durch Autorität • „Schick mich an Alle!“ jochen.koubek@hu-berlin.de

  25. Hoax Beispiel 1/3 Der Aufhänger • > Subject: Viruswarnung • > • > V I R U S W A R N U N G ! • > • > Es wurde gerade ein neues Virus festgestellt, den Microsoft und • > McAfee als den bisher gefährlichsten Virus überhaupt bezeichnen! • > • > Dieses Virus wurde erst am Freitag nachmittag von McAfee • > festgestellt und wird noch nicht von Virenscannern erkannt. Das • > Virus zerstört den Null-Sektor der Festplatte, wo wichtige • > Informationen für die Funktion der Festplatte gespeichert sind. jochen.koubek@hu-berlin.de

  26. Hoax Beispiel 2/3 Die Drohung • > Die Funktionsweise des Virus ist wie folgt: • > • > Das Virus versendet sich automatisch an alle Kontaktadressen • > aus dem Email-Adressbuch und gibt als Betrefftext • > "A Virtual Card for You" an. • > • > Sobald die vorgebliche virtuelle Postkarte geöffnet wird, • > bleibt der Rechner hängen, sodass der Anwender einen Neustart • > vornehmen muss. • > • > Wird nun die Kombination [Strg]+[Alt]+[Del] oder der Reset-Knopf am • > Rechnergehäuse gedrückt, löscht das Virus den Null-Sektor der • > Festplatte, womit die Festplatte dauerhaft unbrauchbar ist. Wenn Sie • > also eine Nachricht mit dem Betreff "A Virtual Card for You" • > erhalten, öffnen Sie diese mail KEINESFALLS, sondern löschen Sie die • > Nachricht sofort. • > • > Am Freitag hat dieses Virus Innerhalb weniger Stunden geradezu eine • > Panik unter EDV-Usern in New York verursacht, wie CNN berichtet • > http://www.cnn.com <http://www.cnn.com • > <http://www.cnn.com<http://www.cnn.com> >> . jochen.koubek@hu-berlin.de

  27. Hoax Beispiel 3/3 Die Aufforderung • > Bitte leite das vorliegende Mail an alle Personen in Ihrem • > Email-Verzeichnis weiter. Es ist sicherlich besser, diese • > Nachricht 25 Mal zu erhalten, als gar nicht! jochen.koubek@hu-berlin.de

  28. 8. Zombies Beendeter Prozess ohne Speicherfreigabe Untotes Programm jochen.koubek@hu-berlin.de

  29. 9. 0190-Dialer • DFÜ-Einwähler jochen.koubek@hu-berlin.de

  30. 10. Tendenzen • Datei und Boot-Viren rückläufig • Netzwerkviren • Cross-Application Macro-Viren über VBA • Email-Würmer • 0190-Dialer • Virus-Construction-Kit • WAP / PDA -Viren • Mutierende bzw. Polymorphe Viren jochen.koubek@hu-berlin.de

  31. Viren Top Ten 12/2001 jochen.koubek@hu-berlin.de

  32. Viren Top Ten 08/2002 jochen.koubek@hu-berlin.de

  33. Hoax Top Ten 08/2002 jochen.koubek@hu-berlin.de

  34. 11. Schutzmöglichkeiten • Risiko: ungeschützter Software-Tausch mit häufig wechselnden Tauschpartnern • Risiko: Unsichere Mail-Clients jochen.koubek@hu-berlin.de

  35. Prävention • Aufklärung • Backups anlegen • Keine dubiosen Attachments öffnen • Keine Kettenbriefe weiterleiten • Antivirensoftware • Monitore • Authentizitätsprüfer • Scanner • Heuristische Scanner jochen.koubek@hu-berlin.de

  36. Behandlung • Restaurierung (Backup) • Desinfektion • Serum • Pflaster (Patches) • Impfung jochen.koubek@hu-berlin.de

  37. Bookmarks http://www.tu-berlin.de/www/software/antivirus.shtml Die vermutlich umfangreichste deutschsprachige Bookmarksammlung. Hier gibt es Links zu Herstellern von Antivirus-Software, Grundlagentexte und bei Bedarf einen Newsletter. http://www.tu-berlin.de/www/software/hoax.shtml Informationen über E-Mail Falschmeldungen (Hoaxes). Ein Verdacht auf einen Virus-Hoax sollte auf dieser Seite überprüft werden. http://www.sophos.de Sophos ist ein Hersteller von Antivirus-Software. Die Site ist sehr informativ aufgebaut. Viele Informationen und Neuigkeiten aus der Virusszene. Bei Bedarf kann man sich einen Newsletter mit aktuellen Viruswarnungen zuschicken lassen. http://www.sophos.de/virusinfo/whitepapers/ Grundlagenartikel von Sophos über Computerviren. http://www.heise.de/ct/antivirus/ Die Zeitschrift c't des Heise-Verlags bietet kompakte Informationen und viele Bookmarks. Insbesondere Links zu Antivirus-Software. http://www.heise.de/ct/antivirus/emailcheck/ Überprüfung des E-Mail-Clients auf bekannte Sicherheitslücken. jochen.koubek@hu-berlin.de

  38. Ende jochen.koubek@hu-berlin.de

More Related