computerviren n.
Skip this Video
Loading SlideShow in 5 Seconds..
Computerviren PowerPoint Presentation
Download Presentation
Computerviren

play fullscreen
1 / 38
Download Presentation

Computerviren - PowerPoint PPT Presentation

rocio
114 Views
Download Presentation

Computerviren

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. Computerviren Viren, Würmer, Trojanische Pferde, Hoaxes, Zombies, 0190-Dialer

  2. Gliederung • Der Computer • Geschichte der Computerviren • Virenautoren • Viren • Würmer • Trojanische Pferde • Hoaxes • Zombis • 0190-Dialer • Tendenzen • Schutz jochen.koubek@hu-berlin.de

  3. 1. Der Computer jochen.koubek@hu-berlin.de

  4. 1.1. Boot • BIOS sucht Bootsektor • BIOS lädt Betriebssystem (OS) • OS lädt Treiber • Desktop anzeigen • Startup-Programme ausführen jochen.koubek@hu-berlin.de

  5. 2. Geschichte • 1949 v. Neumann: Selbst-reproduzierende Programme • 1975 Brunner:„Tapeworm“ • 1984 Fred Cohens Doktorarbeit • 1986 „Brain“-Virus • 1987 Erster VirenscannerMcAffee, 19 Viren. • 1988 Internet-Worm • 1992 „Michelangelo“ • 1999 „Melissa“ • 2000 „I Love You“ jochen.koubek@hu-berlin.de

  6. 3. Virenautoren: Motivation • Männlicher Nerd, unter 25 Jahre • Machtgefühl • Reichweite überprüfen • Geltungsdrang in der Szene • Vandalismus • Sabotage • Erpessung jochen.koubek@hu-berlin.de

  7. Phantasmen • Cyber-Punk • Über-Cracker • Omnipotenz • Technozid Dark Angel's Phunky Virus Writing Guide ---- ------- ------ ----- ------- ----- Virii are wondrous creations written for the sole purpose of spreading and destroying the systems of unsuspecting fools. This eliminates the systems of simpletons who can't tell that there is a problem when a 100 byte file suddenly blossoms into a 1,000 byte file. Duh. These low-lifes do not deserve to exist, so it is our sacred duty to wipe their hard drives off the face of the Earth. It is a simple matter of speeding along survival of the fittest. jochen.koubek@hu-berlin.de

  8. Phantasmen: Quellen • Science-Fiction, Techno-Fiction(Viren als ultimative Waffe im Kampf Mensch/Maschine) • Medienkonstruktionen (Karl Koch, Kevin Mittnick) • Wahl der Metaphern • Vermenschlichung des Computers • Maschinisierung des Menschen jochen.koubek@hu-berlin.de

  9. 4. Virus • Programm • Selbst-Reproduzierend • Infizierend • Mit oder ohne Schadensfunktion jochen.koubek@hu-berlin.de

  10. Klassifikationen • 4.1. Klassifikation nach Wirt • 4.2. Klassifikation nach Schaden • 4.3. Klassifikation nach Funktion jochen.koubek@hu-berlin.de

  11. 4.1. Klassifikation nach Wirt • Bootsektor (Floppy) • Master Boot Record (HD) • Programm • Multipart (Boot + Datei) • Dokument (Makro) • [Email-Attachment] jochen.koubek@hu-berlin.de

  12. Dateiviren-Arbeitsweise +----------------+ +------------+ | P1 | P2 | | V1 | V2 | +----------------+ +------------+ The uninfected file The virus code +---------------------+ | P1 | P2 | P1 | +---------------------+ +---------------------+ | V1 | P2 | P1 | +---------------------+ +-----------------------------+ | V1 | P2 | P1 | V2 | +-----------------------------+ jochen.koubek@hu-berlin.de

  13. Datei-Virus-Aufbau • Signatur • Infektion (Replikator) • Tarnmechanismus (Concealer) • Destruktor (Bomb) • Programmfortsetzung jochen.koubek@hu-berlin.de

  14. Dateivirus-Ausführen • Aufruf des infizierten Programms (z.B. Autostart) • Laden des Programms • Start des Programms • Ausführen des Virus • Fortsetzung des Programms jochen.koubek@hu-berlin.de

  15. Macroviren-Aufbau • Autoexec-Macro infiziert Normal.dot • FileSaveAs, FileSave, FileOpen, ToolsMacros • Schadensroutine jochen.koubek@hu-berlin.de

  16. Macroviren-Ausführen • Laden des infiziertenNormal.dot • Laden eines sauberen DokumentsFileOpen, AutoOpen • Infizieren des Dokuments • Ausführen der SchadensfunktionPayLoad jochen.koubek@hu-berlin.de

  17. 4.2. Klassifikation nach Schaden • Ressourcenverbrauch • Technische: Speicher, Prozessorzeit • Menschliche: Arbeitszeit, Reparatur • Vermehrung • Destruktiv • Absichtlich: Logische Bomben • Unabsichtlich • Ziel (z.B. Anti-Virus-Virus) jochen.koubek@hu-berlin.de

  18. Schaden • Nachrichten -> • Musik • Datenverlust -> • Datenspionage • Partielle Ausfälle • Hardwareausfälle hllc-dosinfo jochen.koubek@hu-berlin.de

  19. 4.3. Klassifikation nach Funktionsweise • Resident (TSR) • Überschreibend (Overwriting) • Getarnt (Stealth) • Verschlüsselt • Polymorph jochen.koubek@hu-berlin.de

  20. Virenmythen • Autonome Entitäten • Plattformunabhängig • Unmittelbare Wirkung • Universelle Hintertür • Subversives Herrschaftswissen Quellen: s.o. jochen.koubek@hu-berlin.de

  21. 5. Würmer • Selbst-reproduzierend • Nicht-infizierend • Mailwürmer • Attachments • Stealth (loveletter.txt.vbs) • MAPI jochen.koubek@hu-berlin.de

  22. Epidemie Code Red: Do, 19 Juli 2001 jochen.koubek@hu-berlin.de

  23. 6. Trojanische Pferde • Nicht-Reproduzierend • Nicht-Infizierend • Verdeckte Schadensroutine • Password Sniffer • Backdoor (Back Orifice) • dDOS jochen.koubek@hu-berlin.de

  24. 7. Hoaxes/Kettenbriefe Soziale Viren • Aufbau • Aufhänger • Drohung • Aufforderung • Erkennungsmerkmale • Technische Sprache • Glaubwürdigkeit durch Autorität • „Schick mich an Alle!“ jochen.koubek@hu-berlin.de

  25. Hoax Beispiel 1/3 Der Aufhänger • > Subject: Viruswarnung • > • > V I R U S W A R N U N G ! • > • > Es wurde gerade ein neues Virus festgestellt, den Microsoft und • > McAfee als den bisher gefährlichsten Virus überhaupt bezeichnen! • > • > Dieses Virus wurde erst am Freitag nachmittag von McAfee • > festgestellt und wird noch nicht von Virenscannern erkannt. Das • > Virus zerstört den Null-Sektor der Festplatte, wo wichtige • > Informationen für die Funktion der Festplatte gespeichert sind. jochen.koubek@hu-berlin.de

  26. Hoax Beispiel 2/3 Die Drohung • > Die Funktionsweise des Virus ist wie folgt: • > • > Das Virus versendet sich automatisch an alle Kontaktadressen • > aus dem Email-Adressbuch und gibt als Betrefftext • > "A Virtual Card for You" an. • > • > Sobald die vorgebliche virtuelle Postkarte geöffnet wird, • > bleibt der Rechner hängen, sodass der Anwender einen Neustart • > vornehmen muss. • > • > Wird nun die Kombination [Strg]+[Alt]+[Del] oder der Reset-Knopf am • > Rechnergehäuse gedrückt, löscht das Virus den Null-Sektor der • > Festplatte, womit die Festplatte dauerhaft unbrauchbar ist. Wenn Sie • > also eine Nachricht mit dem Betreff "A Virtual Card for You" • > erhalten, öffnen Sie diese mail KEINESFALLS, sondern löschen Sie die • > Nachricht sofort. • > • > Am Freitag hat dieses Virus Innerhalb weniger Stunden geradezu eine • > Panik unter EDV-Usern in New York verursacht, wie CNN berichtet • > http://www.cnn.com <http://www.cnn.com • > <http://www.cnn.com<http://www.cnn.com> >> . jochen.koubek@hu-berlin.de

  27. Hoax Beispiel 3/3 Die Aufforderung • > Bitte leite das vorliegende Mail an alle Personen in Ihrem • > Email-Verzeichnis weiter. Es ist sicherlich besser, diese • > Nachricht 25 Mal zu erhalten, als gar nicht! jochen.koubek@hu-berlin.de

  28. 8. Zombies Beendeter Prozess ohne Speicherfreigabe Untotes Programm jochen.koubek@hu-berlin.de

  29. 9. 0190-Dialer • DFÜ-Einwähler jochen.koubek@hu-berlin.de

  30. 10. Tendenzen • Datei und Boot-Viren rückläufig • Netzwerkviren • Cross-Application Macro-Viren über VBA • Email-Würmer • 0190-Dialer • Virus-Construction-Kit • WAP / PDA -Viren • Mutierende bzw. Polymorphe Viren jochen.koubek@hu-berlin.de

  31. Viren Top Ten 12/2001 jochen.koubek@hu-berlin.de

  32. Viren Top Ten 08/2002 jochen.koubek@hu-berlin.de

  33. Hoax Top Ten 08/2002 jochen.koubek@hu-berlin.de

  34. 11. Schutzmöglichkeiten • Risiko: ungeschützter Software-Tausch mit häufig wechselnden Tauschpartnern • Risiko: Unsichere Mail-Clients jochen.koubek@hu-berlin.de

  35. Prävention • Aufklärung • Backups anlegen • Keine dubiosen Attachments öffnen • Keine Kettenbriefe weiterleiten • Antivirensoftware • Monitore • Authentizitätsprüfer • Scanner • Heuristische Scanner jochen.koubek@hu-berlin.de

  36. Behandlung • Restaurierung (Backup) • Desinfektion • Serum • Pflaster (Patches) • Impfung jochen.koubek@hu-berlin.de

  37. Bookmarks http://www.tu-berlin.de/www/software/antivirus.shtml Die vermutlich umfangreichste deutschsprachige Bookmarksammlung. Hier gibt es Links zu Herstellern von Antivirus-Software, Grundlagentexte und bei Bedarf einen Newsletter. http://www.tu-berlin.de/www/software/hoax.shtml Informationen über E-Mail Falschmeldungen (Hoaxes). Ein Verdacht auf einen Virus-Hoax sollte auf dieser Seite überprüft werden. http://www.sophos.de Sophos ist ein Hersteller von Antivirus-Software. Die Site ist sehr informativ aufgebaut. Viele Informationen und Neuigkeiten aus der Virusszene. Bei Bedarf kann man sich einen Newsletter mit aktuellen Viruswarnungen zuschicken lassen. http://www.sophos.de/virusinfo/whitepapers/ Grundlagenartikel von Sophos über Computerviren. http://www.heise.de/ct/antivirus/ Die Zeitschrift c't des Heise-Verlags bietet kompakte Informationen und viele Bookmarks. Insbesondere Links zu Antivirus-Software. http://www.heise.de/ct/antivirus/emailcheck/ Überprüfung des E-Mail-Clients auf bekannte Sicherheitslücken. jochen.koubek@hu-berlin.de

  38. Ende jochen.koubek@hu-berlin.de