Wie dringt schädlicher Code
in einen Rechner ein?

Im Prinzip durch alle Datenübertragungen
von außen in Ihren Rechner.
(E-Mail/Internet/externe Datenträger)

Es gibt eine Vielzahl von Möglichkeiten und Wegen, wie Viren, Würmer oder Trojaner in ein System eindringen können! Auch wenn der Rechner nicht mit dem Internet verbunden war, können solche ungebetenen Gäste praktisch mit jedem Wechseldatenträger, jeder Diskette, jeder CD-Rom eingeschleppt werden. Dies gilt für käufliche Datenträger mit Software ebenso wie für die selbstgebrannte CD eines Bekannten. Bei mancher Freeware oder Shareware sind sogar vom Hersteller selbst trojanerähnliche Programme in Werbebannern versteckt , angeblich ganz legal, um die ansonsten sehr preisgünstigen oder sogar kostenlosen Programme mit gezielter Werbung zu sponsern.- Der Programmierer erlaubt bestimmten Firmen, Werbebanner in seiner Programmoberfläche einzubauen und erhält als Gegenleistung eine entsprechende Bezahlung.Die eingebauten Banner haben es aber oftmals faustdick in sich: Mit der Installation des Programmes auf der Festplatte wird nämlich nicht nur das lästige Werbebanner aktiv, sondern es versucht bei jeder nur denkbaren Gelegenheit entweder eine bestehende Internetverbindung zu einem unbemerkten Datenaustausch mit der Werbefirma zu nutzen oder ist bei entsprechender Voreinstellung des Rechners sogar in der Lage selbst und unbemerkt eine solche Spionagehotline aufzubauen. Daher sollte man niemals irgendeinem Programm aus Bequemlichkeit gestatten, DFÜ Verbindungen ohne Nachfrage aufzubauen!!!...Dies gilt insbesondere auch für alle Browser, E-Mailprogramme und automatische Updatefunktionen. Jeder unbekannte Datenträger (Auch die Diskette von der Freundin etc..!!) sollte grundsätzlich mit einem guten Virenprogramm untersucht werden...Viele User haben keine Ahnung, dass ihr System bereits verseucht ist und sie ohne ihr Wissen schädlichen Code mit jedem Datenträger oder auch jeder E-Mail weitergeben.

Damit komme ich zur zweiten Möglichkeit:

Jeder weiß mittlerweile, dass E-Mails oder aus dem Internet heruntergeladene Dateien verseucht sein können.....Dass daher ein umfassender Schutz in Form von Virenscannern und einer guten Firewall nötig ist, hatte ich bereits eingangs erwähnt und werde in den Schutzprogrammen weiter darauf eingehen...Einige ganz fiese Tricks seien hier aber noch ausdrücklich genannt:


1. Manche Trojaner kommen nicht in einem Stück auf den Rechner, sondern in kleinen, für sich alleine harmlosen Datenpaketen über die normalen Internetzugänge (Browser , E-Mailprogramme oder FTP Clienten). Diese Datenpakete stellen gewissermassen ein sich selbst zusammensetzendes Puzzle dar, welches am Ende irgendwann einen kompletten Wurm oder Trojaner ergibt. Da die einzelnen Pakete mit speziellen Viren-Packern komprimiert wurden, werden sie in der Regel weder von einer Firewall noch von einem handelsüblichen Antivirenproramm erkannt, da der typische Programmcode weitgehend unerkennbar bleibt. Die derart komprimierte Datei selbst besitzt kein übliches und bekanntes Dateiformat wie "*.zip" oder ähnliches und kann daher weder als komprimiert erkannt noch von einem anderen Programm entpackt werden. Hacker benutzen hierfür spezielle Virenpackerprogramme mit völlig unbekannten Dateierweiterungen, die sich beliebig anpassen und generieren lassen...Allerdings sind die damit produzierten Dateien entweder selbstentpackend oder ihr Inhalt ist auch ohne Dekomprimierung ( in gepacktem Zustand!!!) aktiv! Sie können ausserdem in Bild oder Sounddateien versteckt werden und erst nach einer längeren Wartezeit etwa zu einem bestimmten Datum ihr unheilvolles Werk beginnen.


2. Ein weiterer, wirklich fieser Trick funktioniert folgendermassen:

Wohl jeder hat schon einmal einen E-Mail Rückläufer erhalten..... Das sind kurze Benachrichtigungen von E-Mailservern, dass eine bestimmte Mail nicht an die angegebene Adresse zugestellt werden konnte....Im Header der Mail ist dann irgendein Provider als Absender angegeben und die Mail nennt sich z.B.: "MAILER DAEMON" . Dies ist eigentlich etwas ganz Normales!...Im Regelfalle möchte man nun natürlich wissen, welche der vorher versendeten Mails denn nun als unzustellbar zurückkam und klickt in gutem Glauben auf diese Benachrichtigung.....Bis dahin kann mit einem guten Virenwächtermodul im Hintergrund noch nicht allzuviel passieren (Jedoch VORSICHT: Ausnahmen bestätigen die Regel!!).Spätestens, wenn in der geöffneten Mail dann aber ein Attachment mit den Endungen *.vbs, *.wav, *.midi, oder sogar *.exe sichtbar wird, sollte man nicht mehr länger zögern und diese Mail unverzüglich löschen!! Es ist nämlich keinesfalls notwendig , diesen Anhang zu öffnen um in eine Katastrophe zu gelangen!- Selbst blosses Verschieben oder Kopieren in einen Quarantaineordner kann bei ausgefeilten Schädlingen bereits zu einer Ausführung des Programmcodes führen!....Also BITTE: Keine EXPERIMENTE, wenn man nicht ganz genau über diese Dinge Bescheid weiss....Dem Autor selbst sind in letzter Zeit schon einige Male derartige Attachments über Mailer Daemon zugegangen und sie enthielten ausschließlich Würmer wie z.B: "W95. Hybris worm " in einem Attachment mit der Bezeichnung : "A000IJ0.EXE" Aber auch hier gilt: Ein gutes und mindestens einmal in der Woche aktualisiertes Virenwächtermodul im Hintergrund sowie eine vernünftig konfigurierte Firewall können das Schlimmste verhindern! Mehr darüber unter: Schutzprogramme


3. Vereinzelt werden auch Mails mit einem ernsten menschlichen oder technischen Hintergrund verwendet, um den Empfänger zum Öffnen des verseuchten Anhanges zu bewegen. Solche Mails können etwa den Tod eines Angehörigen, den tragischen Unfall eines vermeintlichen Bekannten oder einfach schlicht die Mitteilung zum Gegenstand haben, dass Ihr E-Mail-Account nicht in Ordnung ist, und man Ihnen (natürlich gleich im Anhang) Ihre neuen Zugangsdaten mitschickt. Solch eine Mail könnte dann folgendermaßen ausschauen:

Guten Tag,

da unsere Datenbanken leider durch einen Programm Fehler zerstört wurden,
mussten wir leider eine Änderung bezüglich Ihrer Nutzungs-Daten vornehmen.

Ihre geänderten Account Daten, befinden Sie im beigefügten
Dokument.


Vielen Dank für Ihr Verständnis.


------ <AA-ZZ> GmbH & Co. KG
------ Send-To: Home-Service@aa-zz.com
------ www.aa-zz.de



*-*-* Attachment-Scanner: NO VIRUS
*-*-* GMX- Anti_Virus Service
*-*-* http://www.gmx.net

Der Quelltext (vorsichtshalber geöffnet mit Strg/F3) zeigt auf den ersten Blick außer dem getürkten Header auch noch den Code des angehangenen "Dokumentes", der sich nach kurzer Analyse durch einenVirenscanner sehr rasch als der Code des Wurmes Worm/Sober.I.B64.A herausstellt.

 

Return-Path: <Postmaster@aa-zz.de>
X-Flags: 1001
Delivered-To: GMX delivery to technodoc@gmx.net
Received: (qmail 6452 invoked by uid 65534); 2 Dec 2004 15:58:28 -0000
Received: from pD95234F2.dip.t-dialin.net (HELO yvwvx.de) (217.82.52.242)
by mx0.gmx.net (mx059) with SMTP; 02 Dec 2004 16:58:28 +0100
From: Postmaster@aa-zz.de
To: Your_Account@gmx.net
Date: Thu, 02 Dec 2004 14:52:32 GMT
Subject: Re: Ihre neuen Account-Daten
Importance: Normal
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
Message-ID: <8a78689b7dee7d406@aa-zz.de>
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="=d064eb78.057949922465"
Content-Transfer-Encoding: 7bit
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)

--=d064eb78.057949922465

Guten Tag,

da unsere Datenbanken leider durch einen Programm Fehler zerstört wurden,
mussten wir leider eine Änderung bezüglich Ihrer Nutzungs- Daten vornehmen.

Ihre geänderten Account Daten, befinden Sie im beigefügten Dokument.


Vielen Dank für Ihr Verständnis.


------ <AA-ZZ> GmbH & Co. KG
------ Send-To: Home-Service@aa-zz.com
------ www.aa-zz.de



*-*-* Attachment-Scanner: NO VIRUS
*-*-* GMX- Anti_Virus Service
*-*-* http://www.gmx.net
--=d064eb78.057949922465
Content-Type: application/octet-stream; name=Daten.xls.com
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="Daten.xls.com"

TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAuAAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1v
ZGUuDQ0KJAAAAAAAAACPivnby+uXiMvrl4jL65eISPeZiMrrl4ii9J6IyuuXiCL0mojK65eIUmlj
aMvrl4gAAAAAAAAAAFBFAABMAQMACIydQQAAAAAAAAAA4AAPAQsBBgAAMAAAABAAAACAAACgsAAA
AJAAAADAAAAAAEAAABAAAAACAAAEAAAAAQAAAAQAAAAAAAAAANAAAAAQAAAAAAAAAgAAAAAAEAAA
EAAAAAAQAAAQAAAAAAAAEAAAAAAAAAAAAAAAQMIAAJwAAAAAwAAAQAIAAAAAAAAAAAAAAAAAAAAA
--------------------
Viren/Wurm-Code.... Worm/Sober.I.B64.A... (gekürzt)---------------

Im Zweifelsfalle Mails mit Anhängen unbekannter Absender NIEMALS und bekannter Absender nur nach Rückfrage beim Versender öffnen. Nicht alle Virenwächter reagieren automatisch auf solche Mails. In der Regel schaltet sich das Modul erst ein, wenn der Anhang geöffnet oder die Mail bearbeitet bzw. kopiert wird. Man erkennt den schädlichen Code aber sehr leicht an zahlenmäßig überwiegenden
Großbuchstabenkolonnen (
Meist AAAA und einzelne Qs )
mit eingefügten klein und groß gemischten Buchstaben (
rl4jL65eISPeZiM ) wie im oberen Bild und merkwürdigen Filenamen und Erweiterungen wie Daten.xls.com usw.


Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="kölnerdom.jpg"
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-----------------------------
Code eines angehangenen Bildes.....(gekürzt)-----------------------------

Allerdings erzeugen auch angehangene Bilder in einem Quelltext ähnliche Buchstabenkolonnen. Diese erscheinen allerdings homogener
und bestehen im allgemeinen aus
relativ gleichmäßig gemischten Groß- und Klein-Buchstaben.
Außerdem hat der Filename eine für Grafiken
bekannte Erweiterung
kölnerdom.jpg

DER TECHNODOCTOR


Security 1     Schutzprogramme         Startseite