B. Brandel/H. Zimmermann
Der diesjährige Sommer brach nicht nur sämtliche Hitzerekorde - auch in puncto Windows-Computerviren sprengte er alles bisher da Gewesene. Dazu trugen insbesondere W32.Blaster und Sobig.F bei, die auf besonders neuartige und aggressive Weise trotz vorhandener Internetfirewalls in Windeseile ganze Firmennetze lahm legten und auch Windows-Rechner in unserem Universitätsnetz befielen. Dieser Artikel hat das Ziel, die Funktionsmechanismen dieser beiden Viren exemplarisch zu beschreiben und dadurch auf die Gefahren aufmerksam zu machen, die uns allen von neuartigen Computerviren drohen. Gleichzeitig werden Gegenmaßnahmen aufgezeigt, mit denen man diese Bedrohungen abwehren kann. Besonders wichtig sind regelmäßige, möglichst automatisierte Windows- und Virenscanner-Updates.
Danksagung
Besonderer Dank gebührt den Autoren der Gesellschaft für Wissenschaftliche Datenverarbeitung Göttingen (GWDG) und der Universität Kiel, die die Probleme mit W32.Blaster, Sobig.F sowie das WindowsUpdate hervorragend beschrieben haben und die wir in unserem Artikel mehrfach ausführlich zitieren ([1], [2] und [10]).
W32.Blaster - kein typischer Virus ...
Am 12. August begann der Wurm W32.Blaster sein Unwesen. Da in seinem Programmcode folgende Kommentarzeilen versteckt waren, wurde er auch LovSan genannt:
I just want to say LOVE YOU SAN!! billy gates why do you make this possible? Stop making money and fix your software!!
Der Virusautor wollte damit eine schallende Ohrfeige an Microsoft austeilen: Die Existenz von W32.Blaster zeigt auf, dass Microsofts Betriebssysteme Windows2000, XP und 2003 entgegen allen vollmundigen Versprechungen eklatante Sicherheitsmängel aufweisen.
Das besonders heimtückische an W32.Blaster ist, dass er kein typischer Wurm ist und sich eben nicht per E-Mail verbreitet. Dadurch wurden von ihm auch sicherheitsbewusste Nutzer betroffen, die weder Mail-Attachments leichtsinnig öffnen noch Outlook benutzen.
... sondern ein automatisierter Hackerangriff ...
Man muss W32.Blaster eher mit einem automatisierten Hackerangriff vergleichen, bei dem vom befallenen PC aus möglichst viele Rechner in seiner unmittelbaren Netzumgebung, also im lokalen Universitäts- bzw. Firmennetz, das ja Teil des Internet ist, angegriffen und mit W32.Blaster infiziert werden. Schneeballartig sollte so W32.Blaster im gesamten Internet verteilt werden.
... zum Lahmlegen des Microsoft Windows Update-Servers
In einer zweiten Phase ab dem 16. August 2003 sollte dann von allen befallenen PCs aus ununterbrochen der zentrale Microsoft Windows Update-Server windowsupdate.com, der Updates und Service-Packs für Microsoft Windows 2000 und XP bereitstellt, mit Datenpaketen überflutet und somit lahm gelegt werden. Damit wäre das Update-Konzept von Microsoft unbrauchbar geworden - ein immenser Schaden für Microsoft wäre entstanden.
W32.Blaster im Detail: Infektion und Weiterverbreitung
Grund für die Existenz von W32.Blaster war eine sehr gefährliche Sicherheitslücke in den Netzdiensten von Windows. Genauer gesagt nutzte der Wurm die DCOM-Schwachstelle im Remote-Procedure-Call(RPC)-Dienst aus. Dieses Problem war zwar seit Mitte Juli 2003 samt Patches von Microsoft für seine Betriebssysteme WindowsNT, 2000, XP und Server 2003 gemeldet [4], bei vielen Firmen und auch in unserem Campusnetz waren aber noch nicht alle Rechner gepatcht.
In obigen Betriebssystemen konnte man nämlich im RPC-Dienst (Port 135) einen so genannten Pufferüberlauf erzeugen: Bei Eingabe eines Befehls mit überlangen Parametern wird dieser normalerweise als inkorrekt erkannt und nicht ausgeführt. Bei einem Pufferüberlauf vergisst der Rechner, diese Maximallänge abzuprüfen. Der überzählige Befehlscode überschreibt den angrenzenden Speicherbereich des Hauptspeichers und gelangt ebenfalls zur Ausführung. Durch geschickte Gestaltung dieses überlangen Befehls kann nun ein Hacker erreichen, dass Befehle seiner Wahl auf dem Rechner ausgeführt werden und dieser damit beliebig manipulierbar wird.
Genau diesen Weg beschritt der Autor von W32.Blaster. Da der zum Angriff benötigte Pufferüberlauf genau auf das jeweilige Betriebssystem zugeschnitten sein musste, war es nötig, das Betriebssystem des Zielrechners zu erraten und dann den zum Zielsystem passenden Exploit (Befehlsfolge zur Ausnützung der Schwachstelle) anzuwenden. Dazu ging Blaster folgendermaßen vor:
Er "riet" mit einer 20-prozentigen Chance Windows2000 und mit einer 80-prozentigen Chance WindowsXP als Zielbetriebssystem. Anschließend griff er den Zielrechner mit dem Windows2000- bzw. WindowsXP-Pufferüberlauf an. Das erklärt, warum ungepatchte WindowsNT-Systeme von W32.Blaster zwar angegriffen und destabilisiert, aber nicht befallen wurden: Der Autor des Wurms war einfach an WindowsNT-Rechnern nicht interessiert. Trotzdem sollten WindowsNT-Systeme ebenfalls gepatcht werden, falls ein neuer Virus auch die NT-Schwachstelle ausnützt.
Ein kleiner Trost für Nutzer von konzeptionell unsicheren Windows95/98/ME-Computern: Da auf ihren Rechnern kein RPC-Dienst läuft, sind sie von W32.Blaster nicht gefährdet.
Nach erfolgreichem Eindringen ins Zielsystem wurde dieses dazu gebracht, sich per TFTP (Trivial File Transfer Protocol, Port 69) vom angreifenden Rechner eine Kopie des Virus zu laden, diese unter dem Namen msblast.exe bzw. penis32.exe abzuspeichern und auszuführen. Mittels eines entsprechenden Registrierschlüssels wurde zudem sichergestellt, dass der Virus auch nach jedem Rechnerneustart aktiviert wird.
W32.Blaster im Detail: Lokale Schäden
Zum Glück war der Schaden, den der Wurm auf den befallenen PCs anrichtete, vergleichsweise niedrig. Die Hauptschäden waren nicht näher spezifizierbare Fehlfunktionen, Probleme beim Netzzugang (svchost.exe) und gelegentliche Neustarts (nur unter WindowsXP). Dauerhafte Schäden verursachte der Wurm kaum. Nach der Desinfektion konnten die Anwender mit ihren Systemen wieder problemlos arbeiten. Allerdings soll es auch Varianten des Wurms geben, die zusätzliche Hintertür-Software installieren. Eine Desinfektion mittels Antivirussoftware wäre dann nur scheinbar erfolgreich, da die Hintertür und damit ein potenzieller Remote-Zugang für ungebetene Gäste vom Antivirusprogramm nicht erkannt und somit weiterhin aktiv gewesen wäre.
W32.Blaster im Detail: Angriff gegen Microsoft ...
Den Hauptschaden wollte der Wurmautor jedoch Microsoft zufügen. In einer zweiten Phase ab dem 16. August 2003 startete der Wurm eine Distributed-Denial-of-Service(DDoS)-Attacke auf den WWW-Server windowsupdate.com, auf dem Microsoft Updates und Service-Packs für Microsoft Windows2000, XP und 2003 bereitstellt. Mit dieser DDoS-Attacke sollte versucht werden, den Windows Update-Server ununterbrochen von jedem befallenen PC aus mit jeweils 50 SYN-Paketen pro Sekunde zu überfluten, so dass dieser sofort seinen Dienst eingestellt hätte.
... aber Glück im Unglück
Zum Glück für Microsoft und seine Nutzer hatte der Wurmautor aber nicht bedacht, dass der voreingestellte Servername, von dem jeder neuere Windows-PC seine Updates bezieht, windowsupdate.microsoft.com lautet und dass windowsupdate.com lediglich ein Alternativname dieses Rechners ist.
Somit gab es ein ganz triviales Mittel, um den Angriff ins Leere laufen zu lassen: Microsoft brauchte lediglich den Rechnernamen windowsupdate.com ungültig zu machen. Schon war unter windowsupdate.com kein Rechner mehr erreichbar, während der eigentliche Update-Rechner weiterhin unter windowsupdate.microsoft.com unbehelligt seine Arbeit verrichten konnte.
Somit war der Spuk zum Glück zwar mit nicht unerheblichen Schäden, wenigstens aber ohne Supergau zu Ende gegangen.
Stadtmauern verhindern nicht die Pest
Auch wenn die KU zum Schutz der Netzfreigaben unter Windows zumindest die Netbios-Ports auf dem Übergang vom Internet (G-WiN) zum Intranet der KU schon länger blockiert hatte, half das leider nur wenig gegen die recht ausgeklügelte Verbreitungslogik des Wurms, der immer zuerst die Rechner in seiner Nachbarschaft infizierte. Damit war nur ein Schutz vor Angriffen aus dem Internet gegeben. Der Schutz fürs lokale Netz war in dem Moment ausgehebelt, wo ein befallener Rechner (z.B. ein Notebook) im Intranet ans Netz ging und damit so zu sagen als Ratte die Pest in die Stadt brachte. So lange es immer noch Rechner gab, bei denen die erforderliche Korrektur noch nicht eingefahren war, konnte sich der Virus im Hochschulnetz weiterverbreiten.
Vorboten von W32.Blaster
Dass ein Wurm wie der W32.Blaster erscheinen würde, war in der Tat vorhersehbar und auch von der Internet-Gemeinde erwartet worden. Allein aufgrund der Tragweite der DCOM-Schwachstelle war nämlich abzusehen, in welchem Ausmaß eine Attacke ablaufen würde und in den Tagen und Wochen nach dem 16. Juli kursierten bereits so genannte Exploits, also Programme, welche diese Schwachstelle auszunutzen verstanden. Diese erreichten eine beängstigende Perfektion und demonstrierten eindrucksvoll, wie von außen problemlos die Windows-Systeme korrumpiert, in sie beliebige Programme eingeschleust und sie dann nach eigenem Belieben ferngesteuert werden konnten. Dieses gelang bei den Windows-Versionen vom 10 Jahre alten WindowsNT bis hin zum modernen Windows2003. Lediglich Windows95, 98 und ME blieben von diesen Attacken verschont, da sie diese RPC-Dienste nicht implementiert haben.
Wie kann man ähnliche Angriffe vermeiden?
Nun könnte man sich auf den Standpunkt stellen, der Hersteller - hier Microsoft - hatte ja rechtzeitig gewarnt und die erforderlichen Korrekturen bereitgestellt. Es hätte also einzig an den Anwendern gelegen, dass diese Epidemie so große Ausmaße annahm, denn hätten sie nur rechtzeitig ihre Systeme aktualisiert, dann wäre der W32.Blaster nicht so erfolgreich gewesen. Diese Weitergabe des Schwarzen Peters von Microsoft übers Rechenzentrum an Sie als unsere Nutzer wäre aber höchst unfair - es ist schließlich die Aufgabe des Rechenzentrums, Ihnen bei diesen Problemen weiter zu helfen und Ihnen Lösungsmöglichkeiten anzubieten.
Zeitnahes Schließen von Windows-Sicherheitslücken
Ziel muss es deshalb sein, die Sicherheitslücken auf allen Rechnern der KU möglichst umgehend nach ihrem Bekanntwerden zu schließen. Dazu gibt es folgende Möglichkeiten, die Herr Bert Schinkel von der Universität Kiel [10] zusammengestellt hat und die wir, leicht für unseren Campus modifiziert, ebenfalls propagieren. Grundvoraussetzung ist, dass Sie auf Ihrem PC mit Administrator-Rechten angemeldet sind. Alle Möglichkeiten können Sie mit den vom Rechenzentrum unterstützten Betriebssystemen Windows2000/XP Professional nützen, während beim Auslaufmodell WindowsNT leider keine Update-Unterstützung existiert. Für Windows98/ME gibt es wenigstens teilweise Lösungen.
An der KU können Sie folgende Update-Dienste nutzen:
Einen Update-Service über einen KU-eigenen Windows-Server bietet das Rechenzentrum momentan nicht an.
Manuell können Sie den Microsoft Windows Update-Service über eine spezielle Update-Seite im Internet benutzen.
Zu dieser Internetseite gelangen Sie über den Aufruf Windows Update im Startmenü oder innerhalb des Internet
Explorers im Menü Extras bzw. durch Aufruf der Internetseite:
http://windowsupdate.microsoft.com.
Wenn Sie auf Ihrem PC mit Administratorrechten angemeldet sind, können Sie sicherheitskritische Updates
("Wichtige Updates und Service Packs") sowie sonstige Verbesserungen an Ihrem Betriebssystem
("Windows2000/XP-Updates sowie Treiber-Updates") auswählen, herunterladen und installieren.
Neben der manuellen Update-Installation existiert eine weitere Möglichkeit, die sicherheitskritischen Updates (und nur diese) automatisch herunterzuladen und zu installieren. Der Nutzer muss dann lediglich im Akutfall der Installation der Updates zuzustimmen. Sonstige Verbesserungen am Betriebssystem müssen weiterhin gemäß dem Webseiten-Update durchgeführt werden.
Der "Automatische Update-Service" steht Ihnen in Windows-Betriebssystemen zur Verfügung, wenn folgende Voraussetzungen bei Ihrem Betriebssystem erfüllt sind:
Entspricht Ihr System diesen Voraussetzungen, so existiert in der Systemsteuerung ein weiteres Icon. Öffnen Sie (mit Administratorrechten!) das Icon, können Sie den automatischen Update-Service konfigurieren.
Microsoft hat ein Tool veröffentlicht, mit dem der eigene PC (unter Windows2000 und WindowsXP) und entfernte PCs (sofern man darauf über Administratorrechte verfügt) auf mehrere sicherheitsrelevante Dinge untersucht wird - u.a. auf Verfügbarkeit neuer Updates und Patches oder sicherheitsrelevante Einstellungen.
Den "Microsoft Baseline Security Analyzer" (MBSA) finden Sie direkt bei Microsoft unter [11]. Der MBSA ist nur in englischer Sprache verfügbar.
Nachdem Sie den MBSA heruntergeladen und installiert haben, können Sie das Programm starten, Ihr System auf Sicherheitslücken prüfen und diese beseitigen.
Bewertung der Update-Mechanismen
Keiner der vorgestellten Update-Mechanismen ist für sich allein genommen als die ideale Lösung zu sehen. Wie so oft ist der Mittelweg aus den drei Methoden empfehlenswert:
Nochmals der Appell an Sie als Benutzer eines PCs mit Microsoft Windows Betriebssystem: Nutzen Sie die Update-Funktionen, um Ihren Rechner z.B. vor ungebetenen Gästen zu schützen und Schwachstellen zu schließen!
Nähere Hinweise zu diesen Methoden/Tools finden Sie unter [11]. Für Rückfragen stehen Ihnen die Autoren dieses Artikels gern zur Verfügung.
Ergänzende Maßnahmen
Außer dem regelmäßigen Einspielen von Updates gibt es noch folgende Maßnahmen zur Erhöhung der Sicherheit auf Ihrem PC:
Sofern Sie WindowsXP einsetzen, können Sie über die eingebaute Internet Connection Firewall (ICF) Angriffe auf bestimmte Ports ebenfalls schnell und einfach blockieren. Dazu muss nur unter Start --> Einstellungen --> Systemsteuerung --> Netzwerkverbindungen die entsprechende aktive Verbindung ausgewählt werden - meistens handelt es sich hierbei ja um die LAN-Verbindung , DFÜ-Verbindungen sollten Sie jedoch ebenfalls nicht vergessen. Das Registermenü Eigenschaften --> Erweitert führt Sie direkt zur Internetverbindungsfirewall. Mit der Aktivierung des Eintrags Diesen Computer und das Netzwerk schützen ... wird die Firewall sofort in Betrieb gesetzt. Siehe hierzu auch [2].
Unter Windows2000 sollten Sie die Beschaffung einer Personal Firewall zur Sperrung der gefährlichen Ports vornehmen [15].
Auch wenn Ihr Virenscanner nicht das von W32.Blaster ausgenutzte Sicherheitsloch gestopft hätte, hätte sein Hintergrundwächter doch die Wurminfektion beim Abspeichern der Wurmdatei auf der Festplatte erkannt, da Sophos über die automatische Update-Funktion bei jedem in das Hochschulnetz integrierten PC immer tagesaktuell gehalten wird.
Als letzten Rat empfehle ich Ihnen: Steigen Sie einfach auf Linux um! Es tut nicht weh - auch dieser Artikel wurde mit Kile/LaTeX unter Linux geschrieben!
Sobig.F: Prototyp eines Supervirus? (siehe [1])
Kaum waren die schlimmsten Folgen von W32.Blaster abgeklungen, betrat in der Nacht zum 19. August bereits ein zweiter Schädling die Bühne, dieses Mal ein alter Bekannter in neuem Gewand: Sobig.F. Diese Viren-Familie beschäftigt die Welt ja seit Beginn dieses Jahres und wird deshalb auch alphabetisch durchnummeriert, von Sobig.A bis jetzt aktuell Sobig.F. Es wird inzwischen sogar vermutet, dass es sich hier um ein größeres Projekt handelt, bei dem die verschiedensten Techniken ausprobiert werden und dessen Endergebnis uns dann sicherlich irgendwann als der "Supervirus" heimsuchen wird.
Sobig.F: Blitzartige Verbreitung ...
Bei dieser F-Variante wurde offenbar erstmals eine neuartige Verbreitungstechnik eingesetzt, derer sich sonst nur Spammer bedienen: Zeitgleich wurde Sobig.F in zahllosen Kopien ins Internet gepumpt, so dass die Infektionsrate um etwa siebenmal höher lag als beim bisherigen Rekordhalter Klez.H zu seinen besten Zeiten. Bei einer derartig hohen Ausbreitungsgeschwindigkeit blieb den Herstellern der Antiviren-Software kaum Zeit, rechtzeitig die dafür erforderlichen Signaturen fertig zu stellen, geschweige denn, diese Signaturen den Endkunden rechtzeitig zur Verfügung zu stellen. Somit waren selbst die Anwender, die regelmäßig zeitnah ihre Virenscanner aktualisieren, für einige Stunden ungeschützt.
Glücklicherweise war die Angriffstechnik nicht besonders neu und den meisten Anwendern seit "VBS.Loveletter.A" durchaus bekannt: der virale Dateianhang musste erst geöffnet werden, um den Virus zu aktivieren. Danach versendete er sich wie seine Vorgänger über seinen eigenen SMTP-Server, d.h. er braucht dafür kein E-Mail-Programm, und dieser eingebaute Mailverteiler unterstützte zudem noch Multi-Threading, was es dem Virus ermöglichte, mehrere Verbindungen parallel zu öffnen. Für seine schnelle Verbreitung war also bestens gesorgt. Auch die für Sobig-Viren typische begrenzte Lebensdauer war bei ihm zu beobachten; am 10. September war seine Aktivität beendet.
Sobig.F: Tohuwabohu durch gefälschte Absenderadressen
Diesem Datum werden schon allein deswegen viele entgegen gefiebert haben, weil er durch eine besondere Eigenschaft für extrem viel Unruhe und Irritationen sorgte: er wirkte rufschädigend, indem er wie seine Vorgänger in der Lage war, Absenderadressen zu fälschen. Hierfür musste sich die betreffende E-Mail-Adresse nur irgendwo auf dem infizierten Rechner befunden haben - z. B. über eine ehemals aufgerufene Webseite im Browser-Cache -, und schon war die Wahrscheinlichkeit gegeben, dass diese Adresse von Sobig.F als Absender missbraucht wurde. Auch wenn dieses Verhalten nicht neu war und bereits von Klez und Bugbear wirkungsvoll eingesetzt wurde, so geschah dies doch allerdings nie in diesem Ausmaß wie bei Sobig.F.
Da inzwischen viele Mailserver mit Virenschutzprogrammen versehen sind, die virale Mails generell abweisen mit einer entsprechenden Meldung an den vermeintlichen Absender, so wurde diese Mitteilung, man hätte angeblich Viren versendet, natürlich genau an die Adresse geschickt, die Sobig vorgetäuscht hatte. Diese Internet-Nutzer waren sich aber keiner Schuld bewusst, da sie ja auch nicht die Absender dieser Mail gewesen waren. Zahllose Anwender und Institute, deren Rechner gar nicht infiziert waren, wurden somit trotzdem von dem Wurm in Mitleidenschaft gezogen: das Mail-Aufkommen explodierte gewissermaßen durch die massenhaften Viren-Mails, durch die dann ebenfalls massenhaft eintreffenden falsch adressierten Viren-Warnungen der E-Mail-Wächter und schließlich auch noch durch die sogenannten "Delivery failure"-Antworten, weil die von Sobig.F gefälschten Adressen inkorrekt waren und niemanden erreicht hatten.
Wie erkennt man
den wahren Absender einer E-Mail?
Das folgende Beispiel macht deutlich, wie eine (z.B. von Sobig.F) mit gefälschtem Absender versehene E-Mail aussieht und wie man den wahren Absender (zumindest den absendenden Rechner) ermitteln kann:
Folgende Mail, gerichtet an webmaster@ku-eichstaett.de stammte scheinbar von dem ominösen Absender admin@internet.com, den es natürlich überhaupt nicht gibt, da das Internet leider Gottes oder besser gesagt zum Glück nicht zentral administriert wird:
Ihr Mailclient bietet nun die Möglichkeit, bei geöffneter Mail die vollständigen Mailheader anzuzeigen, Unter Netscape/Mozilla geht das über den Menüpunkt View --> Message Source , unter PegasusMail mittels der Tastenkombination STRG+H. Jeder unmanipulierte Mailheader enthält eine oder meist mehrere Received:-Zeilen, die den Weg beschreiben, den die Mail vom Absender zum Empfänger nimmt. In der letzten Received:-Zeile steht unter From: der wahre Absenderrechner der Mail:
In unserem Beispiel haben wir nur eine Received:-Zeile mit dem vom Absenderrechner vorgegebenen Rechnernamen AS-U03-12 samt verifizierter IP-Adresse 141.78.132.12. In unserem Fall stimmen sowohl Rechnername als auch IP-Adresse, da der Sobig.F-Wurm nicht so intelligent war, um auch diese Header zu fälschen. Somit wissen wir, dass der PC, von dem die Mail verschickt wurde, ein Poolrechner aus Ingolstadt war.
Da wir wissen, dass es einen Administrator des gesamten Internet erstens nicht gibt und zweitens, wenn es ihn gäbe, er ganz gewiss nicht in Ingolstadt säße, ziehen wir den Schluss: Die Absenderadresse war gefälscht und obiger PC ist wahrscheinlich virenverseucht. Letzteres bestätigt uns der (aktuelle!) Virenwächter von Sophos beim Abspeichern (nicht Doppelklicken!) des Attachments. Daher löschen wir umgehend diese Mail und wenden uns wieder unserer eigentlichen Arbeit zu.
Wenn Sie ähnliche Vorfälle bemerken, informieren Sie bitte unbedingt das Rechenzentrum, damit wir weniger wachsame Nutzer ebenfalls schnell warnen können!
Eine genaue Beschreibung der Header von E-Mails finden Sie unter [12].
Sobig.F: Beginnt jetzt das CyberWar-Zeitalter?
Neben der neuartigen Verbreitungstechnik wurde in Sobig.F allerdings noch eine weitere Eigenschaft implementiert. Erstmalig enthielt er einen Trojaner, über den er zu einem festgelegten Zeitpunkt Dateien von speziellen Servern auf die infizierten Computer nachladen sollte, um einerseits sich selbst aktualisieren zu können und zusätzlich weitere im Internet Schaden bringende Software auf den Wirtsrechnern zu installieren.
In einem dramatischen Wettlauf mit der Zeit konnten jedoch zum Glück die in dem Virus in verschlüsselter Form abgelegten 20 Serveradressen bis zum fraglichen Zeitpunkt ausfindig gemacht und selbige vom Netz genommen werden, so dass Schäden von vielleicht nie gekannter Höhe ausblieben. Es gab sogar Befürchtungen, dass Personen oder Staaten mit besonders hoher krimineller Energie das CyberWar-Zeitalter einläuten wollten ([5],[6]).
Vorsorge ist der beste Schutz
Nachdem Sie in der letzten Ausgabe der INKUERZE einen überwiegend theoretischen Überblick über die verschiedenen Virentypen und ihre Eigenschaften [13] bekommen haben und nachdem wir in diesem Artikel zwei besonders agressive Viren genauer unter die Lupe genommen haben, wollen wir Ihnen noch einige praktische Ratschläge dazu geben, was Sie selber zu einer weitgehenden Verringerung eines Virenbefalls tun können. Denn auch hier gilt: Vorsorge ist der beste Schutz.
Wie am Ende des Artikels in der letzten Ausgabe bereits erwähnt, ist die wichtigste Vorsorgemaßnahme
immer noch die Installation und dann regelmäßige Aktualisierung eines Antiviren-Programms. Deshalb hier noch
einmal unser Hinweis:
Das Universitätsrechenzentrum hat auf allen Rechnern der öffentlichen PC-Pools das Antivirenprogramm Sophos
AntiVirus installiert. Die für Antivirenprogramme unablässige regelmäßige Aktualisierung findet dort automatisch statt.
Den an der Universität angestellten Mitarbeitern wird, soweit noch nicht geschehen, dringend empfohlen, auf Ihren
Büro-PCs ebenfalls die Installation dieses in campus-weiter Lizenz verfügbaren Sophos AntiVirus mit automatischem Update vorzunehmen.
Eine detaillierte Installationsanleitung für die Betriebssysteme WindowsNT/2000/XP finden Sie auf den
Internet-Seiten des Universitätsrechenzentrums unter
http://www.ku-eichstaett.de/Rechenzentrum/dienstleist/install [9].
Bekanntlich nutzen viele Viren die modernen und schnellen Kommunikationsmöglichkeiten mittels E-Mail und Internet. Damit das Antivirenprogramm erst gar nicht einen Virenbefall melden muss, sollten Sie im Umgang mit diesen Kommunikationsformen gewisse Grundregeln befolgen. Eines der größten Risiken für einen Virenbefall sind E-Mail-Attachments, also Anhänge, die Ihnen in Verbindung mit einer E-Mail übersandt werden. Alle derartigen Anhänge, ob ausführbare Programme, Textdokumente, Listen oder Tabellen, sind mögliche Überträger von Viren.
Leider sind der Dreistigkeit hier inzwischen keine Grenzen mehr gesetzt: In jüngster Zeit werden E-Mail-Nutzer massiv mit einer Mail bombardiert, deren (vermeintlich seriöser) Absender security@microsoft.com den Empfänger mit einem Betreff "Use this patch immediately!" unter Hinweis auf die Gefährlichkeit bestimmter Viren im Internet dazu auf fordert, sofort einen in der Anlage befindlichen Sicherheitspatch zu installieren. Die Datei, die den angeblichen Sicherheitspatch enthält, ist unter verschiedenen Namen im Umlauf; beispielsweise erscheint sie unter dem Namen patch.exe. Wird das Attachment durch Doppelklick auf diese Datei geöffnet und damit auch als Programm ausgeführt, so wird dadurch ein Virus (Dumaru-Virus) aktiviert, der nun seine schädigende Wirkung entfalten kann. Öffnen Sie deshalb keine E-Mail-Attachments durch Doppelklick!
Speichern Sie E-Mail-Attachments zunächst als Datei auf einem Datenträger (Festplatte oder Diskette) ab. Bei den am URZ verwendeten Mailsystemen PegasusMail, Mozilla und Netscape Messenger geschieht dies durch einfaches(!) Anklicken des Attachments und anschließendes Auswählen der Option Save bzw. Rechtsklick --> Save as ... Wenn Sie, wie auf den Rechnern unserer Universität, ein Antivirenprogramm mit On-Access-Scanmodus (d.h. Virenüberprüfung sofort bei Zugriff auf eine Datei) installiert haben, kann das Antivirenprogramm beim Ablegen der verseuchten Datei, in diesem Fall des verseuchten E-Mail-Attachments, unverzüglich eingreifen.
Da sich Viren und Würmer mittlerweile schneller verbreiten als aktuelle Virensignaturen vom Antiviren-Software-Hersteller verfügbar sind, ist ein gesundes Misstrauen gegenüber den Mails und ganz besonders gegenüber ihren Dateianhängen dringend geboten, auch dann, wenn sie von Bekannten kommen und wenn auch der Virenscanner keinen Virus erkennt. Seit Klez, Bugbear und Sobig wissen wir, die Absenderadresse könnte jederzeit gefälscht sein. Außerdem tauschen viele Menschen auch im Freundes- und Bekanntenkreis per E-Mail Bildschirmschoner, Grußkarten, Animationsprogramme oder ähnliches aus, die sie aus dem Internet heruntergeladen haben. Auch diese aus dem Internet geholten Programme oder Dokumente sind des öfteren bereits virenverseucht. Prüfen Sie in Zweifelsfällen wie oben beschrieben die Header und fragen Sie beim Rechenzentrum um Rat.
Schalten Sie Ihren gesunden Menschenverstand ein: Fragen Sie sich, wie wahrscheinlich es ist, dass ein deutscher Kollege Ihnen auf englisch E-Mails mit englischem Betreff wie z.B. See this attachment schickt. Dass die deutsche Sprache international so unbedeutend ist, ist in diesem Fall ausnahmsweise von Vorteil: Ein Virenautor schreibt meist seine E-Mail-Viren in der Sprache, die überall verstanden wird, also auf Englisch. Auf Deutsch würde der Virus sich längst nicht so gut verbreiten.
E-Mail-Programme wie Outlook und Outlook Express sollten Sie meiden wie der Teufel das Weihwasser. Der nächste Virus ist Ihnen sonst schon garantiert (siehe [14]).
Wenn das Kind schon in den Brunnen gefallen ist und sie einen Virus auf Ihrem PC vermuten, wenden Sie sich bitte unverzüglich ans Rechenzentrum. Ein einfaches Update Ihres Virenscanners bei kompromittiertem System nützt nicht immer, da intelligente Viren das System in ihrer Hand haben und "gegnerische" Software erkennen und deaktivieren können. Wir versuchen Ihnen dann mittels Tools wie "Stinger (Mcafee)" [8] oder "SAV32CLI (Sophos)" [7] weiterzuhelfen, mit denen man auch solche Viren im laufenden kompromittierten Betrieb entfernen kann.
Ob ein Virus eine Hintertür für wissende Internet-Nutzer eingebaut hat, die damit auch nach Entfernen des Virus auf Ihren PC Zugang haben, kann auch die beste Antivirussoftware nicht bemerken. Nehmen Sie daher bitte immer im Schadensfall Kontakt zum Rechenzentrum auf, um dieses Risiko abschätzen zu können!
Fazit und Konsequenzen
Es hat sich gezeigt, dass Würmer wie W32.Blaster und Viren wie Sobig.F eine neue Herausforderung an das bestehende Sicherheitskonzept darstellen. Für die Anwender bedeutet dies, dass sie sich vielleicht auf bekannte und in der Vergangenheit bewährte Sicherheitsmaßnahmen nicht mehr werden hundertprozentig verlassen können. Das uneingeschränkte Vertrauen auf nur ein Produkt, wie z.B. den Virenscanner, mag alleine auf Dauer nicht genügen. Doch viel wichtiger noch als das wahllose Hochrüsten mit Sicherheitsprodukten, die dann womöglich sich gegenseitig oder gar die tägliche Arbeit behindern, ist die genauere Kenntnis der Gefahren. Wenn man weiß, welche Gefahr droht, kann man sich viel besser dagegen schützen.
Das Rechenzentrum ist stets bemüht, Sie rechtzeitig vor den Gefahren zu warnen, Lösungsmöglichkeiten zu eröffnen und durch flankierende Maßnahmen das Schadenspotenzial möglichst gering zu halten. Als ein nicht unwichtiger Teil eines Sicherheitskonzepts darf aber nicht vernachlässigt werden, dass man auch als Anwender stets davon ausgehen sollte, selber irgendwann einmal das Opfer eines Wurms oder Virus' zu werden. Je öfter man dann dieses Szenario durchspielt und die erforderlichen Gegenmaßnahmen erprobt, desto weniger wird man in Panik verfallen, falls diese Situation dann wirklich eintritt.
Das Universitätsrechenzentrum bietet regelmäßig Kurse zum Thema Security an, bei denen genau diese Probleme angesprochen werden. Die Resonanz zu diesen Kursen könnte deutlich besser sein. Viele Nutzer interessiert das Thema Security erst dann, wenn ihr PC virenverseucht oder gehackt worden ist. Vielleicht kann dieser Artikel dazu beitragen, auch diesbezüglich eine Bewusstseinsänderung herbei zu führen. Sie sind herzlich zu unseren Kursen eingeladen!
Literatur (Links)
zu W32.Blaster, Sobig.F und Personal Firewall:
[1] GWDG:
http://www.gwdg.de/forschung/publikationen/gwdg-nr/GN0309/gn0309_03.html
[2] Firewall unter XP:
http://www.gwdg.de/service/sicherheit/aktuell/msblast.html
[3] Personal Firewall Reviews:
http://www.firewallguide.com/software.htm
[4] Microsoft Security Bulletin MS03-026:
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
[5] F-Prot:
http://www.f-secure.com/v-descs/sobig_f.shtml
[6] F-Prot:
http://www.f-secure.com/news/items/news_2003082200.shtml
zur Entfernung im Akutfall:
[7] Stinger(McAfee):
http://download.nai.com/products/mcafee-avert/stinger.exe
[8] Sav32.cli (Sophos):
bei installiertem Sophos AntiVirus als sav32cli.exe im Verzeichnis
c:\programme\Sophos SWEEP for NT
zu URZ-Services:
[9] Sophos-Anleitung (mit AutoUpdate):
http://www.ku-eichstaett.de/Rechenzentrum/dienstleist/install
zu Update-Sicherheit:
[10] Uni Kiel:
http://www.uni-kiel.de/rz/pc/windows-update/
[11] Microsoft Baseline Security Analyzer (MBSA) 1.1.1:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/mbsahome.asp
Beschreibung der Header von E-Mails:
[12] http://sites.inka.de/ancalagon/faq/headerfaq.php3
URZ-Artikel zum Thema E-Mail-Sicherheit:
[13] Wegen Infektionsgefahr geschlossen ...:
http://www1.ku-eichstaett.de/urz/inkuerze/1_03/viren.html
[14] Finger weg von Internet Explorer und Outlook!:
http://www1.ku-eichstaett.de/urz/inkuerze/2_02/ieoutlook.html
| Ansprechpartner im URZ: | Zimmer: | Telefon: | PMail: |
| Bernhard Brandel | IN: HB-204 | -1888 | bernhard.brandel |
| Heribert Zimmermann | EI: eO-003 | -1662 | heribert.zimmermann |