|
6. Take care! Viren, Trojaner
Folgendes gilt freilich für jeden Anschluß an ein Netzwerk und nicht nur für Kabelmodem-Internet, ebenfalls für jede Datei von einer Diskette oder CD oder sonst irgendeinem Datenträger, der »von draußen« kommt:
Äußerste Vorsicht bei jeder Datei aus dem Internet!
Äußerste Vorsicht bei jeder Datei aus dem Internet!
Äußerste Vorsicht bei jeder Datei aus dem Internet!Das kann gar nicht zu stark betont und oft genug wiederholt werden. Selbst Computerprofis vergessen gelegentlich darauf.
Besonders »ausführbare« Dateien, Scripte und Bildschirmschoner (Windows: *.com, *.exe, *.bat, *.vbs, *.shs, *.scr, *.reg...) von unsicheren oder unseriösen Quellen können potentiell zerstörerische oder spionierende Programme enthalten! Es soll sogar schon als *.zip gekennzeichnete gepackte Dateien geben, die eigentlich getarnte *.exe-Dateien sind. Also: Vor jedem Entpacken oder Starten einer Datei oder eines Setup-Programms unbedingt den bevorzugten Virenscanner (siehe bitte nächste Seite) darüberrasseln lassen, und selbst das ist kein hundertprozentiger Schutz!
Dateien, die an eMails oder Usenet-Artikel angehängt sind, sogenannte »Attachments« (Datei-Beilagen), von denen man nichts weiß (die man also zum Beispiel nicht ausdrücklich bestellt hat) oder nicht einmal den Absender kennt, sollten sofort gelöscht und keinesfalls geöffnet, entpackt oder gestartet werden!
Selbst mehrere installierte Antiviren-Scanner und Firewalls dürfen einen von diesem Grundsatz nicht abbringen.Aber selbst wenn man den Absender kennt, ist das kein Indiz für einen virenfreien Datei-Anhang, siehe auf der nächsten Seite die Info über den Trojaner SirCam. Also vor dem Öffnen/Starten auf jeden Fall Rücksprache mit dem Absender halten.
Alle eMail-Programme und Newsreader sind so eingestellt, daß man den Text-Körper der Postings gefahrlos lesen kann – das womöglich verhängnisvolle Betrachten oder Öffnen der angehängten Dateien muß immer ausdrücklich extra befohlen und ausgeführt werden. Dabei sollte man beachten, daß einige eMail-Programme die Extension (=Dateinamenserweiterung, die drei oder vier Buchstaben nach dem Punkt) von Attachments nicht anzeigen – der Anhang life_stages.txt.shs taucht dann nur als life_stages.txt auf. Daher ist bei allen in irgendeiner Form verdächtigen eMails Mißtrauen angezeigt.
Dasselbe passiert nach einer Standard-Installation von Microsoft Windows. Die Konfiguration ist auf "Keine MS-DOS-Erweiterung für registrierte Dateien" eingestellt, damit werden der Punkt und die letzten drei oder vier Zeichen des Original-Dateinamens in den meisten Programmen unterdrückt! Von ILOVEYOU.TXT.VBS ist nur mehr ILOVEYOU.TXT zu lesen.
Um generell die Datei-Extensions anzeigen zu lassen, im Windows-Explorer unter "Ansicht" – "Optionen..." auf der Registerkarte "Ansicht" das Häkchen im Formularfeld vor der Zeile "Keine MS-DOS-Erweiterungen für registrierte Dateien" entfernen!
Bei anderen Windows-Versionen heißt der entsprechende Pfad: "Ordneroptionen - Ansicht - Erweiterte Einstellungen: (Listenfeld) - Dateinamenerweiterung bei bekannten Dateiypen ausblenden". Auch hier darf sich in dem Kästchen vor der Textzeile kein Haken befinden, um die Datei-Erweiterungen anzuzeigen.
Siehe auch: Die Dateitypen PIF und LNK anzeigen
Besonders gefährlich sind eMails oder Artikel aus Newsgroups, deren Text-Inhalt oder der Name des Attachments sympathisch und besonders harmlos klingt (happy2000, I love you)! Die weitaus meisten Computer-Viren und -Würmer werden auf diese Weise übertragen!
Microsoft-Office-Dokumente, besonders Word-Dateien *.doc und Excel-Dateien *.xls, sollten prinzipiell nur in einem Viewer und nicht in Word oder Excel selbst geöffnet werden! (Dieser Link führt direkt zum Download des Microsoft Word Viewers für Windows, mit dem gefahrlos Word-Dokumente betrachtet – aber nicht bearbeitet – werden können.) So kann zum Beispiel aus der Preisliste eines großen, bekannten Computerhändlers (gefälschte Angabe im Absender) mit sensationellen Angeboten rasch größtes Ungemach entstehen.
Aber auch Java, Java-Script, ActiveX-Controls und andere HTML-Erweiterungen können solche Trojaner auf die Festplatte bringen, während man ahnungslos im Internet surft. Abhilfe bringt da nur die höchste Sicherheitsstufe bei den Browsern; der Nachteil ist dann allerdings, daß auf diese Weise ein Teil der Show im Netz nicht »empfangen« werden kann. Ein schwieriges und heikles Thema.
Einmal mehr bleibt es dem User überlassen, die Grenze zwischen Sicherheit und Funktionalität zu ziehen. Daher ist es nicht schlecht, wenn man sich ein wenig mit der Materie beschäftigt.
Ein weiterer Handgriff, den man unbedingt durchführen sollte, ist, die Boot-Reihenfolge im BIOS des Arbeitsplatz-PCs auf "C only" oder zumindest "C, A" zu stellen – ein alter aber immer noch höchst aktueller Tip! Genauere Anleitungen dazu sind im BIOS-Handbuch zu finden. Diese Maßnahme schützt wirkungsvoll gegen die besonders gefährlichen Boot-Viren, die sich beim versehentlichen Booten von infizierten Disketten, die im Laufwerk vergessen wurden, übertragen. Ein Befall mit einem dieser Viren ist meist mit totalem Datenverlust (Betriebssystem bootet nicht mehr) verbunden und macht zur restlosen Entfernung eine Low-Level-Formatierung der Festplatte(n) notwendig.
Die deutsche Computer-Fachzeitschrift c't bietet einen Check auf Verwundbarkeiten durch Würmer wie den »I love you«-Virus an. Von hier aus kann man sich eine eMail zuschicken lassen, welche die aktuellen Sicherheitseinstellungen des eMail-Programms überprüft. Die kritischen Einstellungen, die diese eMail kontrolliert, betreffen primär Outlook und Outlook Express von Microsoft, aber auch andere Software, die den Internet Explorer nutzt, um in HTML abgefasste eMail anzuzeigen. Die genauen Eigenschaften dieses Tests und die Beseitigung möglicher Verwundbarkeiten werden dort genau beschrieben.
Bugfix für deutsches Office 2000 fertig. Neben Aktualisierungen für die Office-Anwendungen Word, Outlook, Excel, Access, PowerPoint, Frontpage und Publisher enthält das Service-Pack auch die neuesten Sicherheitsupdates für Outlook. Eine überarbeitete Fassung steht seit 13. Juni 2000, wie Heise berichtet, als SR-1a auf Microsofts Website für die deutschsprachige Ausgabe von Office zum Download bereit. Dabei ermittelt der (auf jeden Fall erforderliche) Windows-Installer zunächst, welche Office-Komponenten eingerichtet sind. Daher läßt sich der Download nur von Rechnern mit installiertem Office 2000 durchführen. Installationen im Netz erfordern ein spezielles Paket für Administratoren. Je nach Konfiguration umfasst der Download immerhin 26 bis 40 MByte – Nutzer einer Modem-Verbindung müssen sich also schon sehr in Geduld üben.
Outlook 98 beziehungsweise 2000 können (oder besser: müssen? siehe bitte weiter unten) offenbar separat auf den neuesten Sicherheitsstand gebracht werden. Hier die WWW-Hyperlinks zu den entsprechenden Microsoft-Web-Seiten:
eMail-Sicherheitsupdate für Outlook 2000 SR-1
eMail-Sicherheitsupdate für Outlook 98
Das Update für Outlook 98, o98secu.exe, hat eine Größe von 8,5 MB, jenes für Outlook 2000 begnügt sich mit rund 2 MB. Ein wenig verwirrend ist folgende Ansage auf der oben angeführten Microsoft-Web-Seite: »Das eMail-Sicherheitsupdate für Outlook 2000 SR-1 setzt voraus, daß Sie zuerst Office 2000 Service Release 1a (SR-1a) installieren.« Demzufolge enthält das SR-1a-Update also nicht das Sicherheits-Update für Outlook 2000, wie die ebenfalls oben angeführte Heise-Meldung suggeriert.
Um sicherzustellen, daß die Office-2000-Installation weiterhin ordnungsgemäß arbeitet, benötigt das eMail-Sicherheitsupdate für Outlook 2000 SR-1 während der Installation Zugriff auf die Office-2000-CD oder auf den Netzwerkpfad, von dem aus Office 2000 installiert wurde.
Vorsicht! User berichten, daß sie nach dem Update zum Beispiel *.exe-Dateien zwar empfangen aber weder öffnen noch abspeichern können. Die Software meldet: »Outlook hat den Zugriff auf die folgenden potentiell unsicheren Anlagen blockiert: ›Name der Datei‹.« Eine Deinstallation des Updates ist offenbar nicht vorgesehen.
Heise: Schwerwiegender Fehler in MS-Outlook (19. Juli 2000). Ein Bug in Microsofts Mail-Clients Outlook und Outlook Express kann zum Absturz oder gar zur unfreiwilligen Ausführung beliebigen Programmcodes führen (Malformed E-Mail Header Vulnerability).
CERT© Advisory CA-2000-14: Microsoft Outlook and Outlook Express Cache Bypass Vulnerability (26. Juli 2000).
Während die Welt noch unter den Nachwehen des LoveBug-Virus, der Millionen Computer infizierte, stöhnt, durchleuchtet die Fernsehsendung Cyber Attack! von BBC News PANORAMA die Sicherheit der persönlichen Informationen – Bankkonto, Kreditkarte – in den dunklen und gesetzlosen Weiten des Internet. Cover-Story dieser Woche.
Die TV-Doku von Jane Corbin und Toby Sculthorp enthüllt, daß Astronauten, die 1997 für die U.S.-Raumfahrtbehörde NASA tätig waren, während einer Shuttle-Mission unwissentlich dem Risiko durch Hacker ausgesetzt waren.
Exklusiv-Interview mit Michael Buen, einem der jungen philippinischen Männer, die verdächtigt wurden, hinter dem LoveBug-Virus zu stecken. Dieser Wurm-Virus verseuchte – von einem Slum in Manila ausgehend – weltweit tausende Organisationen und Unternehmen.
RealMedia-Datei (Direkt-Start). Der Beitrag dauert etwa vierzig Minuten. Den Anfang überspringen, es beginnt mit den letzten Bildern vom Ende einer Show. Zum Nachlesen und besseren Verständnis gibt es hier die Abschrift von Cyber Attack!, und hier die kompletten Interviews mit Hacker Investigator John Vranesevich, und Sir Dystic und Deth Veggie von der Hackergruppe Cult of the Dead Cow.
Dazu passend der Artikel bei BBC News SCI/TECH: Hacker compromised astronaut safety. Siehe zu dieser Meldung auch Heise-Newsticker, Telepolis (kritisch), Spiegel, Süddeutsche und ORF-FutureZone.
All Images © BBC News
»Mit immer raffinierteren Tricks verschaffen sich unsichtbare Angreifer Zugang zu jedem PC. Die meisten Anwender glauben sich durch die neuste Antivirensoftware geschützt, doch die Realität zeigt, dass ein Virus einfacher zu schreiben als zu stoppen ist.«
Die Ausgabe 2/2001 der Computerfachzeitschrift c't bringt eine Titelgeschichte und weitere Artikel über Viren und Würmer.
Online wird Schädlingsbekämpfung – Konzepte gegen Viren und andere Schädlinge von Jürgen Schmid zur Verfügung gestellt:
»Kaum ein Monat vergeht ohne Schreckensmeldung über neue Viren, Würmer oder Trojaner. Dabei könnten vor allem Microsoft und Internet-Provider das Problem zumindest eindämmen. Doch derzeit hat der Anwender den Schwarzen Peter und muss sich gegen solche Schädlinge schützen.«
Artikel in der Ausgabe 13/2000 der Computer-Fachzeitschrift c't:
Dr. Oliver Diedrich
Liebesbriefe in die Tonne
Konsequenzen aus ILOVEYOU (Seite 110)
Der 4. Mai 2000 war ILOVEYOU-Tag: Binnen weniger Stunden verbreitete sich der Virus via eMail über die ganze Welt, legte die Mailserver großer Firmen lahm und machte sich über JPEG- und MP3-Dateien her. Von Schäden in Millionenhöhe ist die Rede. Wie konnte es dazu kommen, und wie läßt sich eine Wiederholung vermeiden?Andreas Marx
Schutz vor Ungeziefer
Richtiger Einsatz von Antiviren-Software (Seite 114)
Konsequenter Einsatz von Antiviren-Software ist eine wichtige Schutzmaßnahme gegen unerwünschte Schädlinge aus dem Internet. Doch nur wer weiß, wie die Programme funktionieren und wo ihre Defizite liegen, kann seinen Rechner oder das ihm anvertraute Netz wirksam schützen. Der Artikel enthält eine ausführliche tabellarische Übersicht zu Antiviren-Programmen, viele wertvolle Tips und Bildschirmfotos.Christiane Schulzki-Haddouti
Sicherheit ist ein Geschäft
Boomender Markt für IT-Sicherheit (Seite 212)
Eine Studie des Bundeswirtschaftsministeriums prognostiziert den Firmen, die sich mit Kryptographie beschäftigen, glänzende wirtschaftliche Aussichten.Richard Sietmann
Dumm gelaufen?
Anatomie eines Computer-GAUs (Seite 216)
Der größte anzunehmende Unfall in der Computertechnik ist der Ausfall sicherheitsrelevanter Rechner, ohne daß die vorgesehenenen Backup-Systeme zur Rettung einspringen. Bei der Berliner Feuerwehr ist der GAU in der Silvesternacht mit dem totalen Zusammebbruch der Leitstelle eingetreten. Der Fall wirft ernsthafte Fragen zum Risikomanagement informationstechnischer Systeme auf.
Artikel in der Ausgabe 25/2000 der Computer-Fachzeitschrift c't:
Patrick Brauch
Alle gegen einen
Distributed Denial of Service – verteilte Angriffe (Seite 256)
Angriffe von mehreren tausend Rechnern auf das gleiche Ziel stellen ein Problem für große Internet-Diensteanbieter dar. Aber auch Privatanwender (besonders »always-on« über Kabelmodem/DSL angeschlossene Geräte) sind davon betroffen, wenn ihre Computer als »Sklave« für solche Angriffe mißbraucht werden.
Interessante URLs aus dem Artikel:
The DoS Project's "trinoo" distributed denial of service attack tool
Trinity v3 Distributed Denial of Service tool
Empfehlungen zum Schutz vor verteilten Denial of Service-Angriffen im Internet
TCP Intercept
 |
 |
Antiviren-Spezialist McAfee bietet auf seiner Homepage seit kurzem eine stündlich aktualisierte World Virus Map an. Diese zeigt wahlweise die weltweite Virusaktivität – infizierte Computer oder infizierte Dateien – innerhalb der vergangenen vierundzwanzig Stunden oder der letzten sieben beziehungsweise dreißig Tage.
Die Daten für diese Karte entnehme McAfee seinem Online-Virenscanner, den zirka 780.000 eingetragene Kunden nutzten, verkündet die Firma. Die Karte der letzten dreißig Tage zeigt (siehe Abbildung), daß neben Kanada, verschiedenen Bundesstaaten der USA und Australien vor allem Computer von McAfee-Kunden in Großbritannien und Deutschland am häufigsten von Viren befallen sind.
Weiteres Befallbeispiel mitten im ersten Winter des dritten Jahrtausends: Die meisten Computer verseuchte weltweit am 10.02.2001 laut McAfee JS/Kak@M, ein Internet-Wurm, der sich über eMails und Usenet-Artikel mit einem HTML-Attachment (Java-Script und ActiveX) fortpflanzt, die meisten Dateien infizierte VBS/Loveletter (für alle, die es noch nicht wissen: dieser »Visual-Basic-Script-Wurm mit Virusqualitäten« befruchtet Microsoft Outlook), der zusammen mit seiner ebenso zahlreichen wie schädlichen Verwandtschaft nun schon bald seit einem Jahr einsam an der Spitze rangiert und von dort aus die Welt der Computer-Netzwerke terrorisiert.
Seit Anfang September hat McAfee über sein Service nach einigen Angaben ungefähr 39,5 Milliarden Dateien gescannt, von denen etwa 19,5 Millionen mit Viren infiziert waren. Diese verteilen sich allerdings auf knapp zwanzig Prozent aller geprüften Rechner.
McAfee ist beileibe nicht der erste Antiviren-Hersteller, der ein solches Service anbietet. Trend Micro offeriert bereits seit einiger Zeit sein ähnliches, hochaktuelles Real-time World Virus Tracking Center, basierend unter anderem auf seinem Gratis-Online-Virenscanner.
Diese ständig aktuelle Live-Weltkarte vermittelt zusätzlich detailliertere Ansichten und Informationen zu den einzelnen Erdteilen und Staaten. Man erfährt zum Beispiel, daß von Trendmicro-Kunden am zehnten Februar Zweitausendeins aus dem gesamten Afrika (außer Südafrika) etwa ebensoviele Dateien als mit dem weltweit immer noch häufigsten Virus VBS_LOVELETTR.AS infiziert gemeldet wurden wie aus Belgien: Afrika 7.855, Belgien 8.055, Europa 13.874, weltweit 44.165, Nordamerika »nur« 12.751 (keine Sorge – hier führt mit 35.233 sein Alias, der Computer-Wurm VBS_LOVELETTR.BE, als der weltweit zweithäufigste Schädling).
 |
Wäre nur jede Software so wohldurchdacht, -dokumentiert und benutzerfreundlich wie die Toolkits zur Herstellung von Netzwürmern. Anhand dieses Bildschirmfotos eines solchen Viren-Baukastens wird anschaulich gemacht, wie spielerisch einfach es für jedermann ist, einen Virus wie den Anna Kournikova eMail-Wurm anzufertigen. |
Die deutschsprachige Freeware TrojanCheck für Windows 9x kann als Ergänzung zu Virenscanner/Firewall Registry-Einträge löschen, die »not_known«-Methode sauber bereinigen, Einträge in WIN.INI und SYSTEM.INI löschen, eine Logdatei erstellen, alle anderen Dateien, mit denen sich Trojaner starten können, anzeigen, alle laufenden Prozesse anzeigen und beenden, die Datei, die zu einem Registry-Schlüssel gehört, löschen sowie bestimmte Prozesse und die Starteinträge auf Veränderungen überwachen. Dazugehöriges Handbuch. |
 |
Mail-Sniffer
Artikel von Rudolf Haslinger
Eine zusätzliche Möglichkeit, den Computer gegen Virenbefall zu schützen, ist, einen Mail-Sniffer einzusetzen. Ich bin nach langer Suche nach einem solchen Programm auf den Magic Mail Monitor von Valeriy Ovechkin gestoßen.
Dieser Magic Mail Monitor zeigt mir vorab, von wem ich eine eMail bekommen habe. Er lädt ausschließlich die Headline (Betreff, Subject) der Mail herunter. Ich sehe auf einen Blick, in welcher Mailbox die Nachricht ist, von wem sie ist, und welchen Betreff sie hat. Außerdem sehe ich noch die Dateigröße, von der ich auf ein Attachment schließen kann. (Eine direkte Anzeige, zum Beispiel durch ein Icon, gibt es derzeit noch nicht.) Dieses Programm hat mich bis jetzt vor Virenangriffen via eMail zuverlässig geschützt.
Die eMail bleibt solange auf dem Server, bis ich mich entscheide, was ich damit mache. Ich kann sie mit dem Magic Mail Monitor direkt vom Mailserver löschen oder weiterleiten, ohne daß ich damit in Berührung komme.
Dieser Mail-Sniffer in der aktuellen Version 2.707 ist Freeware. Es gibt selbstverständlich auch andere Mail-Sniffer, aber der Magic Mail Monitor ist meiner Meinung nach der übersichtlichste und problemloseste von allen.
Der Installationsvorgang ist faktisch gar nicht vorhanden (einfach in ein Verzeichnis entpacken, Verknüpfung im "Autostart"-Menü erstellen, fertig).
Die Bedienung ist ebenso einfach. Einfach in den Mailbox-Properties die gewünschten Daten (Account, Mailserver, Passwort, Abfragezeit) eingeben, und der Mail-Monitor erledigt alles von allein. Sollte zwischendurch mal eine Abfrage notwendig sein, einfach die Funktionstaste F5 drücken.
Trotzdem möchte ich zu weiteren Vorsichtsmaßnahmen raten:
- Ein aktualisierter Virenscanner ist trotz des Magic Mail Monitors ein absolutes Muß (siehe nächste Seite)!
- Keine Mails von Leuten öffnen, die man nicht kennt.
- Sollte man eine Mail heruntergeladen haben, gut überlegen, ein vorhandenes Attachment zu öffnen, jedenfalls mit einem Virenscanner vorher überprüfen.
- Wenn möglich auf Outlook, Outlook Express oder Lotus Notes verzichten. Es gibt genügend andere MailProgramme.
- Das Mail-Programm auf plain/text einstellen. HTML-Mail ist ein gefundenes Fressen für Viren. Außerdem ist die Datei einer HTML-Mail wesentlich größer.
- Und nochmal Vorsicht, Vorsicht, Vorsicht.
Also, das Ding runterladen, und der Computer wird es einem danken.
Informationen über Computer-Viren dahier:
Live-Ticker von Trend Micro
Live-Ticker von Sophos
Live-Ticker von Moreover
Selbsthilfe-Maßnahmen für Anfänger und Fortgeschrittene (diese Seite)
Mail-Sniffer (diese Seite)
Liste vieler Antiviren-Scanner mit User-Votum (nächste Seite)
Wurm-Virus SirCam mit Umfrage
Wurm-Viren Nimda und BadTrans
Nimda: Sorglose Breitband-User werden abgeklemmt
Wurm-Virus CodeRed mit Umfrage
Der 11. September und die Folgen – Die Computer-Viren Vote, Anthrax, Bin Laden
Aus deutschen Landen? Frisches Ungeziefer: ANTS
|
|
