21

Kaspersky Virenlexikon

Embed Size (px)

DESCRIPTION

Übersicht mit kurzem Überblick zur Geschichte der Schädlinge und Beschreibung der verschiedenen Formen von Malware - bereit gestellt von meinem Partner Kaspersky im Jahr 2011

Citation preview

Page 1: Kaspersky Virenlexikon

Kaspersky Labs GmbHSteinheilstr. 13

D-85053 Ingolstadt

Telefon +49 (0)841 - 981 89 [email protected]

www.kaspersky.dewww.viruslist.de

Page 2: Kaspersky Virenlexikon

Vorwort

Rootkits

VirenTrojanische Pferde

Wurmer..

Viren, Würmer, Trojanische Pferde, Rootkits – das Internet hat nichtnur für schnelle E-Mails und Videoclips a la YouTube gesorgt. Auch

die Bedrohungen sind vielfältiger und vor allem gefährlichergeworden. Dabei hatte alles so harmlos angefangen, die erstenEntwicklungen mit Viren, die damals noch nicht einmal diesenNamen trugen, gehen bis in die graue Vorzeit der

Computertechnik zurück. Die Programmierer hatten hehre Ziele,wollten sich selbst reparierende Software schaffen, Programme, die

sich ständig verbesserten. Heute ist davon kaum etwas übrig geblieben,Viren sind im besten Fall lästige Begleiterscheinungen der Arbeit mit demComputer, im schlimmsten Fall gefährden sie Daten und Bankkonten.

Sicher, Antivirus-Programme gehören heute zur Standardausstattung einesBüro- und Heim-PC. In vielen Fällen schützen sie vor Infektionen undblockieren Angriffe. Doch Viren-Autoren und die Entwickler von Schutz-Software liefern sich seit Jahren ein Rennen, das immer schneller wird, derVorsprung jeder Seite immer kürzer. Letztendlich gibtes keine absolute Sicherheit, jedenfalls nicht beieinem Computer, der Verbindungen mit derAußenwelt herstellt. Doch aktuelle Antivirus-Software, das Einspielen von Patches fürBetriebssystem und Anwendungen und –besonders wichtig – gesunderMenschenverstand sowie eine PortionMisstrauen gegenüber verdächtigenE-Mails und Webseiten sorgen auchin Zukunft für einen infektionsfreien PC.

01Inhaltsverzeichnis 01

0204

0607

0809

1011

1213

1415

1617

1819

2021

2224

2627

2830

Vorwort

Namen sind Schall und Rauch

Anfange und frühe Konzepte

Morris

Creeper

Elk_Brain

Vienna_Cascade

Peach_Michelangelo

Concept_Win.Tentacle

Linux.Bliss_Win95CIH

Melissa

Babylonia/Hybris/Sonic

LoveLetter

Liberty and Phage

Slammer/Lovesan (Blaster)

Choke_Netsky

Bagle

Sasser

MyDoom

Cabir

GPCode

Zotob

Leap

CommWarrior

Glossar

Page 3: Kaspersky Virenlexikon

02

UNIX

Computervirus

Experiments

03

Den Anfang machten Viren, dann kamen die Würmer. Doch als die erstenViren-ähnlichen Programme entwickelt wurden, war dieser Name noch nicht

in Gebrauch. Erst 1981 verwendet Professor Leonard M. Adleman ineinem Gespräch mit Fred Cohen zum ersten Mal den Begriff„Computervirus“. Drei Jahre später liefert Cohen seine Doktorarbeitab, Titel: „Computer Viruses - Theory and Experiments“. Zum erstenMal wird definiert, was ein Computervirus ist und welche Eigenschaftener hat. Cohen beschreibt einen Virus als „ein sich selbstvervielfältigendes Programm, das andere Programme infizierenkann, indem es ihnen seinen eigenen Code anhängt“. Brisant ist

der Teil mit den „Experiments“. Darin stellt Cohen ein funktionierendes Virusfür das Betriebssystem UNIX vor, er gerät deshalb in die Kritik.

Heute wird der Begriff „Virus“ meist für alle Arten Schadprogramme benutzt,tatsächlich gibt es aber genaue Abgrenzungen. Ein Virus verbreitet sich,

indem es sich in noch nicht infizierte Dateien kopiert und so anpasst,dass es selbst ausgeführt wird, sobald man das Wirtsprogrammstartet. Ein Wurm wartet hingegen nicht passiv darauf, aufgerufenzu werden sondern betreibt aktiv seine Verbreitung. Würmer nutzendazu meist Sicherheitslücken in Software und Betriebssystem.

Trojaner, die dritte große Gruppe, stellen sich zum Zeitpunkt derAusführung als etwas anderes dar, als sie in Wirklichkeit sind. EinTrojaner repliziert oder kopiert sich nicht selbst und wird daher meist

huckepack mit einem Wurm oder Virus kombiniert.

Namen sind Schall und Rauch

Cohen

„Es gibt nur einensicheren Computer. Erist nicht vernetzt undbefindet sich in einemSafe 20 Meter unterder Erde an einemgeheimen Ort...undselbst da habe ichmeine Zweifel.“

Dennis Huges, FBI

Page 4: Kaspersky Virenlexikon

VyssotskyMcIlroyMorris Senior

1962

04

IBM 650

05

Von Viren und Würmern konnte man damals noch nicht sprechen, der Begriffselbst tauchte erst viel später auf. Den Entwicklern ging es um Konzepte,

sie versuchten schon damals, der Maschine so etwas wie Intelligenzeinzuhauchen. Dazu gehörte 1962 auch „Darwin“ der Vorläufer desSpiels „Core Wars“. Darwin wurde von drei Ingenieuren der BellTelephone Laboratories entwickelt, Victor Vyssotsky, Doug McIlroyund Robert Morris Senior. Vor allem Robert Morris spielt in der weiterenGeschichte der Computerviren noch eine wichtige Rolle. Darwin, und

sein Nachfolger Core Wars, fand auf einem virtuellen Schlachtfeldim Speicher des Computers statt. Die Mitspieler entwarfen simpleProgramme mit einer vereinfachten Programmiersprache. DieProgramme konnten sich vervielfältigen, andere Programmeaufspüren und vernichten. Ziel war es, das Schlachtfeld unterKontrolle zu bringen.

Langsam näherten sich die Ideen und Konzepte dem an, washeute als Virus bekannt ist. Veith Risak veröffentlichte 1972 einen

Artikel über selbstreproduzierendeAutomaten. Das darin beschriebene

Programm hat bereits sehr deutliche Anklängean moderne Viren. Es wird kurz danach auf

einem Großrechner von Siemens programmiertund funktioniert problemlos.

Die Kreidezeit der Computertechnik war eine weitgehendideale Periode. Computer waren mächtige Ungetüme, die

nur Wissenschaftlern und sehr großen Firmen zur Verfügungstanden. Die Rechenleistung konnte zwar nicht mit dereines aktuellen Videorekorders mithalten, dennoch wurdenhier die Grundsteine für die Computertechnik gelegt, wiewir sie heute kennen. Viele Ideen kamen über dasPapierstadium nicht hinaus. So hatte John von Neumann(eigentlich Janos Lajos Neumann) schon Mitte der vierzigerJahre theoretische Vorarbeiten zu sich selbst

reproduzierenden Programmen geleistet, auch wennan die Umsetzung zu der Zeit noch

nicht zu denken war. 1959veröffentlichte der britische

Mathematiker Lionel Penrose einenArtikel über automatische Selbst-

Replizierung in der Zeitschrift „Scientific American“.Seine „virtuellen“ Geschöpfe konnten sichvervielfältigen, verändern und andere Programmeangreifen. Kurz danach verwirklichteFrederick G. Stahl Penrose’ Modell

auf einem IBM 650 Computer.

Anfange und fruhe Konzepte

: : DarwinCore Wars

1972Risak

SiemensPenrose1959

NeumannIrren ist menschlich

Marcus Tullius Cicero

„Irren ist menschlich,aber damit die Dingerichtig schief laufen,braucht man einenComputer”

Paul Ehrlich

Page 5: Kaspersky Virenlexikon

Tenex

Thomas

6000 Computer

Moris Worm

MITCERT

Morris Junior1988

06 07

Unschuldige Zeiten: Der Creeper-Virus war nicht nur harmlos, erteilte auch der Welt mit, dass er sich auf einem Computer eingenistet

hatte. Anfang der 70er Jahre für das Betriebssystem Tenex programmiert,konnte sich Creeper über Modems von Computer zu Computer bewegen.Dort erschien dann die Zeile: „I’M THE CREEPER, CATCH ME IF YOU CAN“.

Der Urheber wurde nie zweifelsfrei geklärt, die meisten Quellen gebenBob Thomas als Autor an. Das Ganze war nur als Experiment gedacht, doch,ganz im Sinne des Zauberlehrlings, der die Geister nicht mehr los wird, dieer gerufen hat, geriet Creeper außer Kontrolle und pflanzte sich munter fort.Schaden entstand dabei keiner, trotzdem setzte sich Thomas auf seinenwissenschaftlichen Hosenboden und programmierte „Reaper“. Das Programmpflanzte sich ebenfalls automatisch fort und löschte Creeper wo immer esdas Virus-Programm finden konnte. Somit könnte man „Reaper“ als erstesAntivirus-Programm der Welt bezeichnen.

Am 2. November 1988 erlebt das damals als Internet bekannte Computernetzseine erste Epidemie. Robert Tappan Morris, der Sohn von Robert MorrisSenior, startet auf einem Vax Computer von Digital Equpiment seinen „MorrisWorm“. Das Programm hat nur eine Aufgabe, sich so schnell als möglichauf so viele Computer wie möglich zu verteilen. Danach sollte es einfachnur im Speicher laufen, einen mikroskopisch kleinen Teil der Rechenzeitbelegen und nichts tun. Den ersten Teil seiner Aufgabe erledigt der Wurmperfekt, schon nach drei Stunden sind mehrere Tausend Computer in ganzAmerika infiziert. Doch Programmfehler sorgen für eine böse Überraschung– der Wurm erzeugt auf jedem Computer immer neue Kopien von sich selbst,bald sind die Rechner nur noch damit beschäftigt den Wurm auszuführen.

Morris

Creeper

Am Ende waren geschätzte 6000 Computer infiziert, das entsprachzur damaligen Zeit mehr als 10 Prozent des gesamten Internets.Sie mussten vom Netz genommen und aufwändig von derInfektion befreit werden. Die verursachten Kosten ließensich nie genau festlegen, Schätzungen schwankenzwischen 10 und 100 Millionen US-Dollar. Morriswurde zu drei Jahren Haft auf Bewährung,400 Stunden Sozialdienst und 10.050 Dollar Strafeverurteilt. Er ist heute Professor am renommiertenMassachussets Institute of Technology (MIT), demgleichen Ort, an dem er den Wurm startete. Alsunmittelbare Folge wurde im Dezember 1988 dasComputer Emergency Response Team (CERT) ins Lebengerufen, eine herstellerunabhängige Institution, die Gegenmaßnahmengegen groß angelegte Attacken koordinieren soll.

Creeper Virus

Modem

Reaper

Bob

Der Begriff „Wurm“ für eine Software,die sich selbstständig vervielfältigt unddabei bestimmte Aufgaben ausführt, stammtvom Science-Fiction-Autor John Brunner.In seinem Roman „Der Schockwellenreiter“nutzt der Protagonist einen solchen Wurm(Tape-Worm) um sich Informationen zuverschaffen und seine Spuren in einemweltweiten Netzwerk, ähnlich demInternet, zu verschleiern.

Page 6: Kaspersky Virenlexikon

CEO

Cascade

ProfiEugen

Kaspersky

1988Fix

Swoboda1988Burger

CCC

BrainVirus

FaroopAlvi

1986

Apple II

Elk

globale Epidemie

Skrenta 151982

08 09

Schwarzer Peter für Virenautoren: 1988 zieht der Vienna-Virus um die Welt und infiziert Dateien mit der Endung„com“. Mittlerweile ist ein Computervirus für Medien undUnternehmen interessant, in den Zeitungen wird über „Vienna“berichtet. Franz Swoboda, der erste, der auf den Virus aufmerksam macht,gerät unter Verdacht. Er gibt an, dass er den Virus von Ralf Burger erhaltenhat, einem Mitglied des Chaos Computer Club (CCC). Burger ist empört undstreitet das ab. Seinen Angaben nach hat er den Virus von Swoboda erhalten.Es wurde nie geklärt, wer tatsächlich der Autor ist. Vienna selbst ist harmlos,er hat keine Aufgabe, außer sich zu verbreiten. Geschichte schreibt der Virusaus einem anderen Grund. Bernt Fix, der eine Kopie des Virus erhält, schreibtein Programm um Vienna zu neutralisieren. Es gilt als erstes erfolgreichesAntivirus-Programm für IBM-PCs.

Jugend forscht, leider manchmal in die falsche Richtung. 1982 ist RichardSkrenta 15, als er Elk programmiert, einen Virus für die damals extrempopulären Apple II Heimcomputer. Elk, manchmal auch Elk Cloner genannt,hat die fragwürdige Ehre, der erste Virus zu sein, dersich „in-the-wild“ verbreitet, also auch außerhalbeiner akademischen oder Forschungseinrichtungauftaucht. Auf Elk angesprochen sagte Skrenta: „Eswar der idiotischste Hack, den ich je gemacht habe,aber er hat mir die meiste Aufmerksamkeiteingebracht.“ Geschadet hat es ihm nicht, heute istSkrenta CEO beim erfolgreichen News-AggregatorTopix.net.

Elk Vienna

Brain

Stealth

Cascade läutet 1988 die zweite Virengeneration ein. Zum ersten Mal ist einVirus speicherresident, bleibt also nach dem ersten Start im Arbeitsspeicherdes Computers aktiv und infiziert automatisch neue "com"-Dateien. Außerdemverschlüsselt sich Cascade selbst, so ist er schwieriger zu entdecken, weildie damals üblichen Mustervergleiche nicht mehr greifen. Cascade ist aufden ersten Blick durchaus humorvoll – ab und an lässt er die Buchstabenauf dem Bildschirm bröckeln und bröseln, sie sammeln sich als kleineHäufchen am unteren Bildschirmrand. Dann gibt es allerdings eine böseÜberraschung, Cascade löscht Sektoren auf Datenträgern. IBM nahm denVirus zum Anlass ein eigenes Anti-Viren Programm zu entwickeln. Und nochjemand wurde durch Cascade zum Anti-Viren Profi: Cascade war der ersteVirus, den Eugene Kaspersky analysierte.

CascadeGlobalisierung macht auch vor Viren nicht halt. 1986 programmieren

zwei Brüder in Pakistan den „Brain“-Virus (auch Pakistani flu), denersten Virus für IBM-PCs. Er ist harmlos, verändert nur den Namen der

befallenen Diskette in „Brain“ und pflanzt sich auf noch nicht infizierte Diskettenfort. Basit Farooq Alvi und sein Bruder Amjad bringen sogar ihren Namen und diekorrekte Adresse im Programmcode unter. Eigentlich möchten die beiden, die zuder Zeit bei einem Softwarehersteller arbeiten, nur herausfinden, wie schlimm esum Raubkopien in Pakistan bestellt ist. Die Antwort ist eindeutig – sehr schlimm.Binnen weniger Monate reist „Brain“ um die Welt, er wird zur ersten globalenEpidemie. Brain gilt als erster „Stealth“-Virus der Welt, der seine Anwesenheit aktivverbergen konnte. Versuchte der Computer lesend auf den Sektor zuzugreifen,auf dem sich der Virus eingenistet hatte, zeigte Brain denursprünglichen Inhalt des Sektors an.

Eine Personal Firewallbietet Schutz vorklassischen Angriffen.Was hat man unter"klassischen Angriffen"zu verstehen? Seltsamangezogene Fremderollen ein riesigesHolzpferd vor DeineHaustür?

IRC, Autor unbekannt

Page 7: Kaspersky Virenlexikon

1996WordBasic

in-the-wild

WinVir 1.4

Makro-Virus1995

Boot-Sektor

Medienhysterie

1992Michelangelo

Anti-Virus

1992Peach

10 11

Papier ist geduldig, virtuelles Papier verwundbar. Mit „Concept“ taucht1995 der erste Makro-Virus auf. Bis dahin waren Viren in der Regelin Maschinensprache - Assembler – programmiert. Das setzte sehrgute Programmierkenntnisse voraus. Nun nutzten die Autoren zumersten Mal eine Hochsprache, in diesem Fall WordBasic. Weil Dokumenteerheblich häufiger getauscht und verschickt wurden als Dateien,verbreitete sich Concept rasend schnell. Er verfügte über keineSchadroutine, im Virus war folgender Text zu finden: „That's enoughto prove my point.” Gerüchten zufolge soll der Autor ein Mitarbeitervon Microsoft gewesen sein. Im Juli 1996 wird der erste Excel-Virusentdeckt – XM.Laroux. AccesiV, der erste Virus für Microsoft Access,folgte im März 1998.

Die Viren schlagen zurück. 1992 setzt sich zumindestin einigen Bereichen der Industrie das Wissen umdie Notwendigkeit von Antivirus-Programmen durch.Prompt reagieren die Autoren der lästigen Biester:

Peach erkennt, wenn Central Points Change Inspectorauf dem PC installiert ist und löscht dessen Datenbank.Kann es die Datenbank nicht finden, erstellt es kurzerhandeine neue. In beiden Fällen wird die Antivirus-Software außer

Gefecht gesetzt.

Concept

Michelangelo

Jetzt ist Windows dran. Bislang waren Viren auf DOS, den Boot-Sektorund Makros beschränkt. Viren für Windows gab es zwar schon, zumBeispiel WinVir 1.4, allerdings nur im Labor, in geschlossenen Insiderzirkeln.Mit Win.Tentacle ist auch diese Ära vorbei, der Virus wird 1996 in freierWildbahn „in-the-wild“ gefunden. Zuerst taucht er in Frankreich aufund legt dort ein Krankenhaus und verschiedenen andereOrganisationen lahm. Danach zieht er nach Großbritannienweiter. Er infiziert "exe"-Dateien von Windows, richtetaber in der Regel keinen Schaden an.

Win.Tentacle

Peach

Und dann kam Michelangelo...1992 löste dieser Virus eine noch nie vorher da gewesen Medienhysterieaus. Man könnte sagen, mit Michelangelo waren Viren im Medienzeitalter angekommen. Benanntwurde der Virus nach dem Universalgenie des Mittelalters weil er am 6. März, dem GeburtstagMichelangelos, aktiv werden und schlimme Schäden anrichten sollte. Michelangelo war schon 1991entdeckt worden, aber erst im Januar 1992 begann der Rummel. Zwei Computerherstellerveröffentlichten Pressemitteilungen, dass sie versehentlich mehrere Hundert, mit dem Virus infizierteDisketten, ausgeliefert hatten. Nachrichtenagenturen und Tageszeitungen begannen über den Viruszu berichten und plötzlich überschlugen sich die Reporter mit immer noch alarmierenderen Zahlenüber die zu erwartenden Schäden. Fünf Millionen Computer, zu der Zeit eine enorme Menge, solltebetroffen sein, die Schäden in die Millionen gehen. Michelangelo war auch in der Tat bösartig. Erhielt sich nach der Infektion unsichtbar im Hintergrund, überschrieb aber am 6. März den Boot-Sektor und verschiedene Systemdateien auf der Festplatte. Damit startete der Computer nicht mehr.Ob es an den Warnungen lag, oder an der völlig überschätzten Verbreitung von Michelangelo:am 6. März 1992 erlagen nur etwa 10.000 Computer Michelangelos Fluch.

Small is beautiful:1992 führtKaspersky Lab dasPrinzip der Micro-Updates ein. Fortan istes nicht mehrnotwendig, diekomplette Antivirus-Datenbank herunter-zuladen, eine mittler-weile mehrere Mega-byte große Datei.Micro-Updatesumfassen nur dieÄnderungen zwischender vorhandenen undder neuesten Versionder Datenbank undkommen meist mitwenigen Kilobyte aus.In Zeiten von analogenModems und ISDN einwichtiger Vorteil.

1998

exe

Page 8: Kaspersky Virenlexikon

Mailcliente

ganze WeltAmerika

E-Mail

Chen Ing-hauTaiwan

Chernobyl1998Hosts

1997

12 13

Schon in den Achtzigern prophezeien Wissenschaftler, dass E-Mail dasideale Medium für die Verbreitung von Viren ist. Wie recht sie damit hatten,erkennt die Welt am Freitag, dem 26. März 1999. An diesem Tag zeigt„Melissa“, wie viel Schaden man mit einer Kombination aus Makro-Virusund Mail-Verbreitung anrichten kann. Sobald der Virus einen PC infizierthatte, sammelte er 50 E-Mails im Outlook-Adressbuch des Computers undverschickte sich selbstständig an die Empfänger. Der ursprüngliche Benutzermerkte nichts davon, für die Empfänger sah es aber so aus, als würdensie E-Mails von einem Bekannten oder Kollegen erhalten.

Melissa war weder komplex noch besonders boshaft, erreichte aber durchdie Anwendung von Social-Engineering-Technik eine enorme Verbreitung.Innerhalb weniger Stunden verteilte er sich in ganz Amerika, dann weiterüber die ganze Welt. Als am folgenden Montag Millionen von Beschäftigtenihre PCs einschalten und den Mailclient öffnen, erreicht die Infektionsrateein exponentielles Maximum. Angeblich werden allein an diesem Tag mehrals 100.000 Computer infiziert. Firmen wie Microsoft, Lockheed Martinund Intel müssen ihre E-Mail-Server komplett abschalten. Das FBI hatteschon am Freitag mit der Suche nach dem Autor begonnen und wird schnellfündig. David L. Smith, Programmierer aus New Jersey und 31 Jahre altist für Melissa und damit auch für geschätzte Schäden im zweistelligenMillionenbereich verantwortlich. Er wird im Dezember 1999 zu10 Jahren Haft und einer Geldstrafe von 400.000 US-Dollarverurteilt.

Linux.Bliss wird im Februar 1997 zum ersten Mal beobachtet. Bis dahinwar Linux weitgehend von Viren und Würmern verschont geblieben. Die inder Regel strenge Rechtevergabe und die geringere Verbreitung von Linuxim Vergleich zu Windows hatten für trügerische Ruhe gesorgt. Mit Linux.Blissgehört das der Vergangenheit an. Der Virus sucht nach ausführbaren Dateien,die für Schreibzugriffe freigegeben sind und überschreibt sie mit seinemeigenen Programmcode. Danach sucht der Virus nach anderen Hosts,

die er infizieren könnte. Netterweise hat der Autor auch gleich einGegenmittel eingebaut. Wenn man eine infizierte Datei mit dem Zusatz„--bliss-disinfect-files-please” aufruft, löscht sich der Virus selbst.

MelissaLinux.Bliss

Viren können keine Hardware beschädigen, das galt lange Jahre als unumstößlichesGesetz. Daran zu zweifeln kam dem Glauben an den Weihnachtsmann gleich. BisWin95.CIH im Juni 1998 auf der Bildfläche erscheint. Der Virus, auch Chernobylgenannt, löscht am 26. April nicht nur Dateien auf der Festplatte, er versucht auchdas BIOS der Motherboards zu überschreiben. Gelingt ihm das, ist der Computerein Fall für den Herstellersupport. Die Schadroutine funktionierte bei einer großen

Zahl verschiedener Computertypen, trotzdem hielt sich der Anteil der Betroffenenmit kaputten Motherboards in Grenzen. Win95.CIH verbreitet sich von Taiwanaus rasend schnell. Schon nach einer Woche gelangt der Virus über Raubkopiennach Europa und mausert sich zu einem der meist verbreiteten Schädlingeseiner Zeit. Autor ist der taiwanesische Zivildienstleistende Chen Ing-hau.

Er wird verhaftet, aber wieder frei gelassen, weil es keinen Ankläger gibt. Alssein Virus im Jahr darauf wieder aktiv wird, klagt ein taiwanesischer Student,

Chen wird zu drei Jahren Haft verurteilt.

Win95 .CIH

Nachdem die erstenLinux-Viren aufkommen,ist es höchste Zeit,den Schutz für diesesBetriebssystem zuverstärken. KasperskyLab bringt 1999 dieerste Sicherheits-Suite für Linux heraus.

Im Jahr 1999entwickelt KasperskyLab den erstenBehaviour Blocker fürMakro-Viren. Damithing der Schutz vorbösartiger Softwarenicht mehr an derErkennung vonMustern im Virencodeab. Die Behaviour-Analyse schlägt bereitsAlarm, wenn Aktionenausgelöst werden, dienach Virus- oderWurmaktivitätaussehen. Damitschützt diese Technikvor bekannter undunbekannterSchadsoftware.

David L. Smith1999 FBI

Page 9: Kaspersky Virenlexikon

2000

1999Internet

14 15

Aufatmen im Jahr 2000. Trotz ernster, manchmal geradezu hysterischerWarnungen, ist die Welt weder untergegangen, noch sind die weltweitenComputernetze zusammen gebrochen. Dafür bedarf es auch keinesepochalen Jahrestags, das anscheinend unerschöpfliche Gottvertrauen derMenschen genügt völlig. Anders kann man nicht erklären, was derVBS/LoveLetter- oder auch "iLoveYou"-Virus binnen weniger Stundenanrichtet. LoveLetter verbreitet sich per Mail und enthält einen Anhang im"vbs"-Format. Er wird nicht von sich aus aktiv, sonder muss vom Benutzerangeklickt werden, meist folgt noch eine Bestätigungsabfrage.

Obwohl die Absenderadressen auf den ersten Blick Misstrauen erzeugensollten, klicken Millionen von Benutzern freudig auf „Ja“ undkatapultieren LoveLetter zum erfolgreichsten Virus aller Zeiten.Schon Stunden nach der ersten Entdeckung „in-the-wild“brechen Mailsysteme aufgrund der hohen Last zusammen.Die verursachten Schäden sollen bereits 2004mehr als 10 Milliarden US-Dollar betragenhaben. Eugene Kaspersky hatte es Jahre vorherbereits angekündigt: „Benutzer sind meist zunaiv, um in einer angehängten Datei bösartigeProgramme zu vermuten.“ Mittlerweilesind viele Varianten von LoveLetterbekannt und im Umlauf.

Aktuell mit Updates – heute ist praktisch jedeSoftware darauf angewiesen, sich regelmäßig perInternet auf den neuesten Stand zu bringen. Warumsollte das Konzept vor Viren halt machen? ImDezember 1999 veröffentlicht der berüchtigtebrasilianische Virenautor Vecna seine neuesteSchöpfung Babylonia. Der Virus nutzt als erster dasInternet für Updates. Er verbindet sich einmal proMinuten mit einem Server in Japan und sucht nachneuen Programmmodulen. Wird er fündig, lädt dieInstallationsroutine die aktuelleren Module herunterund baut sie in den Virus ein. Später nutzen auchandere Schadprogramme wie Hybris und Sonicdiese Technik. Sie erweitern das Konzept und nutzenNewsgroups im Internet als öffentlich zugänglicheDownload-Quelle. Dadurch wird es schwieriger, dasUpdate zu verhindern. Während sich anonyme Web-Server relativ leicht blockieren oder schließen lassen,sind solche drastischen Eingriffe bei Newsgroupsnicht möglich.

LoveLetterBabylonia 4 Hybris 4 Sonic

Vecna vbs

Mailsysteme

Noch 1988 warPeter Norton, bekanntdurch seine Tool-Sammlung “NortonUtilities” der Meinung,dass Viren nichtexistieren. „Viren sindein urbaner Mythos,”sagte er in einemInterview mit demInsight Magazine.„Das ist wie dieGeschichte über dieAlligatoren in denAbwasserkanälen vonNew York. Jeder hatdavon gehört, aberkeiner hat sie jemalsgesehen.“ Kurze Zeitspäter kam die ersteVersion von NortonAntivirus auf denMarkt.

iLoveYou

Page 10: Kaspersky Virenlexikon

2000

Trojaner

16 17

Die Würmer kommen, und zwar gewaltig. Bislang gingen Virusinfektionenimmer auf eine Datei zurück, sei es nun eine „exe“, „com“, „vbs“ oder

ein anderes ausführbares Format. Im Januar 2003 fällt auchdiese Barriere, Slammer attackiert aus der Ferne über das

Internet. Er nutzt eine Schwachstelle im Microsoft-SQL-Server aus. Alle Computer, die aus dem

Internet erreichbar sind und den SQL-Serverausführen, fallen dem Wurm zum Opfer.Innerhalb weniger Minuten infiziert derWurm Hunderttausende von Computern,die Belastung des Internet steigt auf das

Doppelte, komplette Interent-Ländersegmente brechen unter der Lastzusammen. Dabei kopiert sich der Wurmnicht einmal auf den befallenen Computer,er bleibt im Arbeitsspeicher und versuchtandere Rechner zu infizieren. Wer fürSlammer verantwortlich ist, wurde niegeklärt, man geht vom Ursprung im fernenOsten aus. Während Slammer vor allemFirmen betraf – der SQL-Server wird kaum

von Privatleuten benutzt – schlug Blaster,auch Lovesan genannt, auch zu Hause zu. Das Prinzip war das gleiche

aber Lovesan nutzte eine Sicherheitslücke im RPC-DCOM-Modul vonWindows 2000 und Windows XP aus. Dadurch war der Großteil aller

direkt mit dem Internet verbundenen PCs betroffen.

Im Jahr 2000 hatte sich Microsoft als bevorzugtes Ziel vonVirus-Autoren etabliert. Nun konnten die Programmiererauch etwas Zeit abzweigen, um sich um bislangvernachlässigte Plattformen zu kümmern. Im August wurdeder Liberty-Virus entdeckt, der erste bösartige Trojaner fürPalmOS. Er zerstörte nach der Aktivierung Dateien auf demHandheld, konnte sich aber nicht replizieren. Das schaffteetwas später Phage, der erste richtige Virus für den Palm.Auch er löschte Dateien auf dem PDA. Um sich auf demHandheld einzunisten, warendie beiden allerdingsnoch auf dieSynchronisation mitdem PC angewiesen.Libertys Urherber istder schwedischeWissenschaftler AaronArdiri. Er habe den Virusnur zu Testzweckenprogrammiert, indiskreteTestpersonen, denen er dieSoftware gezeigt habe, hätten denVirus ins Freie entlassen.

Liberty and Phage

PalmOS

PDA

Jürgen Kraus verfasst1980 an derUniversität Dortmundeine Diplomarbeit mitdem Titel „Selbst-reproduktion beiProgrammen“. Darinstellt er einenVergleich zwischenSoftware und biolo-gischen Viren an, undfolgert, dass sichProgramme wiebiologische Virenverhalten könnten. DieDiplomarbeit ver-schwindet, absichtlichoder nicht, in denArchiven der Uni-versität und wird erstim Dezember 2006veröffentlicht.

2003 SQL-Server

execom

vbsRPC DCOM

Ardiri

Slammer 4 Lovesan 5Blaster5

Page 11: Kaspersky Virenlexikon

2004

Choke2001

18 19

Bagle ist ein E-Mail-Wurm wie viele andere. Allerdings führte er dasKonzept von Backdoors – Hintertüren – bei PCs ein und erlangtedamit traurige Berühmtheit. Er tauchte zuerst im Januar 2004

auf und infizierte PCs mit allen Windows-Betriebssystemen außerdem kaum noch verwendeten Windows 3.11. Nach erfolgreicher

Infektion öffnete sich der Windows Taschenrechneroder das Spiel „Hearts“ und Bagle

begann, an einem Port aufNachrichten von Außen zulauschen. Der Initiator vonBagle erlangte darüberpraktisch die volle Kontrolleüber den PC und konntemit ihm nach Gutdünkenverfahren. Außerdemversuchte der WurmAntvirus-Programme

abzuschalten oderihren Start zuverhindern.

Disketten, E-Mails, die Internet-Verbindung – mittlerweileist kein Medium mehr vor dem Missbrauch durch Virensicher. Keines? Doch! Chat-Programme wie der Instant-Messenger erfreuen sich lange Zeit einer unbehelligtenExistenz. Bis 2001, dann erscheint Choke auf derBildfläche. Er verschickt wahllos Nachrichten an ICQ-Benutzer mit dem Text: „Micro$oft invites youto use MSN Messenger!“ Nehmen dieangeschriebenen die Einladung an,bekommen sie eine Datei mit Namen wie“ShootPresidentBUSH.exe'” und „choke.exe“zugeschickt. Ein Doppelklick öffnet demVirus Tür und Tor.

Choke 2004E-Mail Wurm

Musikalisch waren Viren schon früher. In den Achtzigernjodelte der Yankee Doodle die amerikanische Südsstaatenhymneaus infizierten PCs. Eigentlich gilt mittlerweile die Devise: „nurein unauffälliger Virus ist ein guter Virus“. Doch Netsky bricht mitder Regel. Netsky ist wie Melissa ein E-Mail-Wurm, er versendetsich am 24. März an E-Mail-Adressen, die er in Dateien auf einembefallenen Computer findet. Er enthält sogar seinen eigenen Mailserver,so ist er nicht auf Mailserver im Internet angewiesen, die in der Regelden Massenversand abblocken. Zusätzlich spielen verschiedene NetzSky-Varianten am 2. März zwischen sechs und neun Uhr wahllos Töneaus den PC-Lautsprechern.

ICQ

Chat

NetSky

Yankee DoodleNetsky

Bagle

Fred Cohen, einer derersten, der dasPotential von Virenerkannte und Gegen-maßnahmen ent-wickelte, beantragte1987 Forschungs-gelder bei der NationalScience Foundation. Erwurde mit derBegründung abge-wiesen, „dass seineForschungsarbeitnicht von aktuellemInteresse sei.“

Bagle

Backdoors

Hearts

Page 12: Kaspersky Virenlexikon

Sven J.2004

20 21

Sasser gehört zu den dateilosen Würmern, er infiziert Computer,indem er über das Internet eine bestimmte Sicherheitslückeim Modul LSASS von Windows ausnutzt. Was sich soharmlos liest, führte 2004 zu einer Virenwellesondergleichen, nur noch übertroffen vom Medienhype,als der Autor Sven J., ein 18-jähriger Schüler ausNorddeutschland, ermittelt wird.

Bald stellte sich heraus, dass er auch für NetSkyverantwortlich war. Sasser legte binnen weniger Tagekomplette Netzwerke lahm, und verursachte Schädenin Millionenhöhe, und das, obwohl Microsoft bereitslange vor dem Auftreten von Sasser einen Patch fürdie betreffende Sicherheitslücke im LSASS-Modulbereit gestellt hatte. Sasser veränderte dasSicherheitsbewusstsein in vielen Firmen, automatischeUpdates wurden danach deutlich häufiger freigegebenund schneller installiert. Trotzdem wimmelt es noch heuteim Netz von Sasser-Ablegern.

Sven J. wurde im darauf folgenden Jahr wegenComputersabotage und Datenveränderung zu einerJugendstrafe von einem Jahr und neun Monaten sowie 30 Stunden gemeinnütziger Arbeit verurteilt.

Sasser

Keine zentrale Kontrolle, begehrte Inhalteund Hundertausende Benutzer: kein Wunder,dass Tauschnetzwerke wie Kazaa schon seitlangem auch als Verteilmedium für Viren

heran gezogen wurden. Normalerweisemusste man dafür einfach infizierte Dateien zur

Verfügung stellen und hoffen, dass der Empfängerkeinen aktuellen Virenscanner einsetzt.

MyDoom kann das Tauschnetzwerk Kazaa ganz ohne solche Krückennutzen. Populär wurde der Wurm allerdings durch seinen primärenDaseinszweck – eine Denial-of-Service-Attacke gegen SCO zu starten.SCO war wegen eines Patentstreits eine Weile die meist gehasste Firmaim Linux-Umfeld. MyDoom sollte die Website des Linux-Hestellerszwischen dem 1. und dem 12. Februar 2004 angreifen. Allerdingsinstalliert der Wurm auch gleich eine Hintertür im System, über die derAutor vollen Zugriff auf den Computer erhält.

MyDoom

Ab Juni 2007 sindDenial-of-Service-Attacken inSchweden einStraftatbestand.Überführte Tätermüssen mit Haftstrafenvon bis zu zwei Jahrenrechnen.

Virenwelle

PatchLSASS

Medienhype

MyDoom2004

Kazaa

SCO

LinuxAttack

Page 13: Kaspersky Virenlexikon

2005

22 23

Disketten, E-Mail, Internet, Instant Messenger,was fehlt noch in der Liste der Vireneinfallstore?Richtig, das Handy. Bis Juni 2005 konnte manzumindest beim Telefonieren Vorsichts-maßnahmen vergessen.

Dann wurden die ersten Exemplare vonCabir bekannt, einem Wurm für Symbian-Smartphones, der dessen Bluetooth-Funktionzur Verbreitung nutzt. Zuerst galt er als reinerLaborvirus, der nicht in freier Wildbahnauftauchte. Mittlerweile wurden die erstenExemplare außerhalb der Entwicklungslaboregefunden.

Sobald ein infiziertes Handy eingeschaltet wird,sucht Cabir nach Bluetooth-Empfängern inseiner Reichweite und verschickt seineHauptdatei „caribe.sis“ an die erste aktiveVerbindung und tarnt sich als Benutzer-oberfläche für ein MP3-Programm. Dennochgeht von Cabir keine große Gefahr aus.Er fragt mehrfach nach, bevor er sich installiert,das sollte in der Regel eine Infektion verhindern.

Cabir

Disketten

1990 wird inHamburg das EICAR(European Institute of Anti-

Virus Research)

gegründet. Heute istdas Institut eine derweltweit am meistenrespektiertenEinrichtungen imBereich Computer-sicherheit, praktischalle namhaftenExperten sind Mitglieddes EICAR.

E-Mail

Internet

Instant Messenger

Handy

MP3

Cabir

Laborvirus

Symbian-Smartphones

caribe-sis

Page 14: Kaspersky Virenlexikon

200424 25

In den letzten Jahren hat sich eine neueKategorie von Viren-Autoren gebildet. Es gehtnicht mehr ums Prinzip, um die Ehre oder umden Wettbewerb – nun geht es ums Geld,schlicht und einfach.

Deutlichster Vertreter dieser „neuen Schule“ist GPCode, ein Trojaner, der im Juni 2004zum ersten Mal auftritt. Nach der Infektioneines Systems verschlüsselt er Dateien. Alleswas nach Daten und Informationen aussieht,die dem Anwender lieb und teuer sein könnten,wird mit einem RSA-Algorithmus codiert, dieunverschlüsselte Originaldatei gelöscht.

Eine Datei „Readme.txt“ erscheint inden Verzeichnissen, in denen nunverschlüsselte Dateien liegen, sieinformiert den Benutzer, dass Datenverschlüsselt wurden und dass mansich für eine Entschlüsselungs-software an eine russische E-Mail-Adresse wenden soll.

GPCode

RansomwareSchadsoftware die nach diesemPrinzip arbeitet, wird „Ransomware“(Ransom = Lösegeld) genannt.GPCode und ein naher Verwandter,Cryzip, richten nicht viel Schaden an,auch deshalb, weil der Autor, wieEugene Kaspersky sagt, „das Crypto-Buch nicht bis zum Ende gelesen hat.“

Eigentlich hätte der Schlüssel vonGPCode einen leistungsfähigen PCetwa 30 Jahre beschäftigen sollen.Kaspersky Lab knackte ihn in10 Minuten. GPCode ist bei weitemnicht der erste Vertreter vonRansomware.

Schon 1989 verschickte Joseph Poppaus Cleveland, Ohio 20.000 mit einemTrojaner infizierte Disketten, der nachund nach alle Verzeichnisse undDateien auf dem PC verschlüsselte.Ein britisches Gericht erklärtePopp für unzurechnungsfähig, einitalienisches verurteilte ihn zu zweiJahren Haft in Abwesenheit.

Infektion

Cryzip

Popp

Trojaner

GPDCodeNach Untersuchungenim Juli 2005 wurdeein PC mit einemfrisch installierten,ungepatchten WindowsXP innerhalb von 12Minuten nach derVerbindung mit demInternet infiziert.

2004

Page 15: Kaspersky Virenlexikon

26 27

Der Wurm nutzte eine Schwachstelle im Plug-and-Play-System vonWindows aus, für die Microsoft bereits einen Patch veröffentlicht hatte.Trotzdem konnte Zotob mehrere große Unternehmen, darunter dieFinancial Times, CNN, ABC und die New York Times infizieren. Zotoböffnet auf den befallenen Systemen eine Hintertür und suchte aktivnach weiteren Opfern im Netzwerk.

Der dadurch erzeugte Datenverkehr ließ die Netzwerke zusammen-brechen. Kurz darauf nahmen die marokkanischen Behörden Farid E.und Achraf B. fest und verurteilten sie zu zwei und einem Jahr Haft.

Sasser hätte eigentlich allen Firmeneine Lehre sein sollen, doch2005 hatte Zotob nach demgleichen MusterdurchschlagendenErfolg.

Zotob

Apples Mac hat einen elitären Status. Was Viren undWürmer angeht, bedeutete das über lange Jahrehinweg völlige Ruhe vor Schädlingen. Doch im Februar2006 kam auch der Mac im Hier und Heute an.

Der Wurm OSX/Leap-A attackierte Anwender von MacOS X. Er verteilte sichzunächst per Mail und gab vor, im Anhang Screenshots des neuesten MacBetriebssystem Leopard zu zeigen. Wer die Datei ausführte, fand keine Fotos,wohl aber einen raffinierten Wurm vor, der sich per iChat automatisch an alleKontakte der Buddylist versendete, sobald diese ihren Status änderten. Weil

Leap die Dateiübertragung versteckte, merkten die Betroffenen nichts vomTransfer. Der Wurm enthielt darüber hinaus keine Schadroutine, ließ die

Mac-User aber aufhorchen – sie waren nicht mehr immun.

Leap

Farid E.2005Achraf B.

Plug-and-Play-System

Financial Times

CNNABC

New York Times

Netzwerk

Patch

Boddylist

2006

Apple

MacOS X

OSX/ Leap-A

iChat

Page 16: Kaspersky Virenlexikon

28 29

Schreib mal wieder – aber bitte keineMMS. Denn die könnte mitCommWarrrior verseucht sein, demersten Wurm für MultimediaMessage Services (MMS).

CommWarrior ist die logischeFortsetzung der Entwicklung. NachSchadsoftware für PCs und PDAsrückten Smartphones in das Visierder Viren- und Wurmautoren.

Nachdem sich die ersten Ausgeburten wieCabir im Jahr 2004 per Bluetooth oder über dieSynchronisation mit dem PC verteilten, kannCommWarrior ein Jahr später, neben Bluetooth,eine simple MMS als Träger nutzen.

Der Wurm verschickt sich automatisch an dieEinträge im Adressbuch, sucht aber auch nachempfangsbereiten Bluetooth-Handys in der Umgebung.

CommWarrior

PCs

2005

MMS PDAsSmartphones

Cabir2004CommWarrior

Page 17: Kaspersky Virenlexikon

30 31

ASchadsoftware, die sich meist ohne dieEinwilligung des Benutzers auf dem PCinstalliert und Fenster mit Werbunganzeigt oder den Web-Browser zuerstauf nicht gewollte Webseiten umlenkt.In der Regel schwer zu entfernen, oftauch Vehikel, um Trojaner auf einen PCzu bringen.

AdWare

BEine für Benutzer unsichtbare Hintertürim Betriebssystem oder in einemProgramm, durch das eine fremdePerson Zugriff auf den Computererlangen kann.

Backdoor

Spezielle Trojaner, die nur die Aufgabehaben, einen PC durch eine Hintertürfür fremde Personen freizugeben.

Backdoor-Trojaner

Als Behaviour Blocker wird einProgramm oder der Teil einesProgramms bezeichnet, das in der Lageist, bestimmte Verhaltensmuster andererProgramme zu erkennen. So lassen sichneue, bislang nicht bekannte Viren undWürmer nur aufgrund ihrerVorgehensweise, zum Beispielmassenhaftes verschicken von E-Mails,identifizieren und abblocken.

Behaviour Blocker

Die ursprüngliche Form eines Virus. Erinfiziert den Bootsektor einer Disketteoder Festplatte. Der Bootsektor gilt alsausführbares Programm, daher wird eindort versteckter Virus bei jedemSystemstart aktiviert.

Bootvirus

Ein Zusammenschluss von PCs über das Internet, die in der Regel durch Trojanerinfiziert wurden und nun ferngesteuert Aufgaben eines fremden Benutzers ausführen.Botnets werden oft für Denial-of-Service-Angriffe auf Webseiten verwendet oderals unfreiwillige Mailserver zum Versand von Spam-Mail.

Botnet

DFrüher häufig verwendeter Zusatz zuViren und Würmern. Ein infizierter PCbenutze den Dialer um kostenpflichtigeRufnummern anzurufen, die dann überdie Telefonrechnung abgerechnetwurden. Mit der hohen Verbreitung vonDSL aus der Mode gekommen.

Dialer

(Distributed-)Denial-of-Service-Attackennutzen meist Botnets um einenWebserver mit so vielen sinnlosenAnfragen zu überschütten, dass keineKapazitäten für „normale“ Benutzer übrigbleiben. Das Ergebnis ist eine nicht-erreichbare Website und damit Image-und Umsatzverluste beim Opfer.

DoS/DDoS-Attacken

EJede Art des Ausnutzens einerSicherheitslücke für einen Angriff.

Exploi t

FSoftware oder Hardware, die dazu dientdie Verbindungen eines Computers nachAußen und von Außen nach Innen zukontrollieren. Eine korrekt konfigurierteFirewall ist ein wichtiger Bestandteil desSchutzkonzepts für jeden PC. Firmennutzen Hardware-Firewalls am Übergangzwischen internem und externemNetzwerk, Privatpersonen solltenzumindest ein Personal Firewall aufSoftware-Basis nutzen. Die meistenDSL-Router verfügen über eineeingebaute Firewall.

Firewal l

Glossar Glossar

Page 18: Kaspersky Virenlexikon

32 33

HIn der Computersicherheit ist ein Hacker ein Spezialist, der mit seinem Fachwissen Sicherheitslückensucht und ausnutzt bzw. dabei hilft, solche Schwachstellen zu erkennen und zu beseitigen. EinHacker gilt also als „Guter“, im Gegensatz dazu werden Angreifer als „Cracker“ bezeichnet,allerdings ist diese Begriffstrennung umstritten.

Hacker

Glossar Glossar

Als Heuristik (griechisch: zu deutsch: ich finde) bezeichnet manStrategien, die das Finden von Lösungen ermöglichen, ohne dassdazu ein festgelegter Weg bekannt ist. Bei Viren wird mit Heuristikeine Methode bezeichnet, um neue, bisher nicht bekannteSchadsoftware zu finden. Mit dieser Technik, ursprünglichentwickelt von Kaspersky Lab, untersucht man den Programmcodeeiner Datei (oder eines anderen Objekts), um festzustellen, obdarin virusähnliche Befehle enthalten sind. Sobald die Anzahl vonvirusähnlichen Befehlen ein vorher festgelegtes Maß überschreitet,wird die entsprechende Datei als möglicherweise virusinfiziertmarkiert. Heuristische Module müssen einen Schwellwerthaben, ab dem Alarm gegeben wird.

Heurist ik

Jede Art von unwahren Virus-, Wurm- oder Trojanermeldungen.Auch Programme die nur als Scherz gedacht sind.

Hoax

Eine Kombination von mehreren Technologien in einem Virus. Sowurde beispielsweise der Mobil-Wurm Cabir mit einem Skuller-Virus verschmolzen, das Ergebnis ist ein Hybridvirus.

Hybridvirus

TEin Wurm, der Instant-Messaging wie den MicrosoftMessenger als Verbreitungskanal nutzt. Das ist möglich,da IM auch Dateiübertragungen erlaubt.

IM-Wurm

Intrusion Detect ionSystem/IntrusionPrevent ion System(IDS/IPS)

IDP- und IDS-Systeme überwachen denNetzwerkverkehr auf Protokollbasis und analysierenauf dieser sehr tiefen Detailebene alle Vorgänge.Angriffe auf Netzwerke erfolgen fast immer nachbestimmten Grundmustern, ein gut eingestelltes IDS-System erkennt diese und schlägt Alarm. IDP gehtnoch weiter: es blockt bei einem festgestelltenEinbruchsversuch den Angreifer ab und verhindertdessen Zugriff auf das Netzwerk.

LLinkviren hängen sich nicht an eine vorhandene Datei an,sondern manipulieren das Dateisystem. Wird dasZielprogramm gestartet, bleibt der Virus im Arbeitsspeicherund hängt seinen Code an das Programm an.

Linkvirus

MMobile Viren sindSchadprogramme für mobileGeräte wie Smartphones oderPDAs. Sie kamen erst vorverhältnismäßig kurzer Zeit auf,doch ihr Anteil am MMS-Traffichatte Ende 2006 bereits dasNiveau von E-Mail-Schadprogrammen erreicht -0,5 – 1,5% aller Nachrichtensind infiziert.

Mobile Viren

Page 19: Kaspersky Virenlexikon

34 35

NUmschreibung für eine Form des Online-Betrugs. In einer Mail wird der Empfängergebeten, gegen eine hohe Provision beimTransport von großen Geldsummen zuhelfen. So unwahrscheinlich dieGeschichte klingen mag, fallen immerwieder Menschen darauf herein. Imbesten Fall verlieren sie diverseVorschüsse und Gebühren, es kamallerdings schon vor, dass Personen nachAfrika gelockt und dort ausgeraubt undermordet wurden. Benannt nach demafrikanischen Land, in dem diese Formdes Online-Betrugs einen eigenenParagraphen im Strafgesetzbuch hat.

Nigeria Connect ion

Glossar Glossar

PBeim Pharming fälschen Angreifer, oft mit Hilfe vonTrojanern, die Adresse des DNS-Servers für einen PCoder ein ganzes Netzwerk. Anfragen für www.ebay.delanden dann an einem anderen Server, der entweder aufeine gefälschte Seite weiterleitet, oder die Kommunikationmitschneidet um Passwörter zu erbeuten. Der Begriff“Pharming“ rührt daher, dass die Betrüger große Server-Farmen unterhalten, auf denen gefälschte Webseitenabgelegt sind.

Pharming

Eine Art des Online-Betrugs, bei dem der Angreiferversucht, den Benutzer zur Preisgabe von Datenwie Passwörtern für das Online-Banking zu bringen.Meist läuft der Angriff über Spam-Mails die zumBesuch einer gefälschten Webseite auffordern.

Phishing

Der Begriff „polymorph“ leitet sich ausdem Griechischen ab und bedeutet„viele Gestalten“. Polymorphe Viren sindvariabel verschlüsselt. Sie versteckensich, indem sie ihre „Gestalt“ mit jederneuen Infektion verändern, damitVirenscanner keine konstanteZeichenfolge für einen vergleich finden.

Polymorpher Virus

Funktionsfähige Software, die nur zumNachweis der Machbarkeit entwickeltwird. Sie tritt in der Regel nichtaußerhalb von Forschungslaboren undEntwicklerzirkeln auf.

Proof Of Concept

RSchadsoftware, die auf dem infizierten PCreversible Veränderungen vornimmt unddiese gegen die Zahlung von Geld wiederrückgängig macht. Bekannt sind Viren, diepersönliche Dateien wie Texte oder Tabellenauf dem PC verschlüsseln.

Ransomware

Ein Programm oder eine Sammlung vonProgrammen, die vor allem die Aufgabehat, sich der Entdeckung zu entziehen.Ein erfolgreich installiertes Rootkitversteckt sich so gut, dass selbst dasBetriebssystem nichts davon merkt. Meistsind auch noch weitere Programmeenthalten, die fremden Personen Zugriffauf den Computer gewähren. Rootkitswerden schon lange verwendet, erhieltenaber vor allem in den letzten zwei Jahrenerhöhte Aufmerksamkeit, weil Sony aufeinigen CDs einen Kopierschutz miteingebautem Rootkit verwendete.

Rootkit

SDer spezifische, unverwechselbareAbdruck eines Schadprogramms. AmAnfang der Antivirus-Entwicklungwurden Viren nur durch einenSignaturvergleich mit einer Datenbankentlarvt, mittlerweile, im Zeitalterpolymorpher Viren, kommen auchandere Methoden wie Heuristik undBehaviour Blocker hinzu.

Signatur

Jede Art von unverlangt zugesandten E-Mails, Faxen oder Kurznachrichten.Enthalten häufig Viren oder Verweise aufmit Viren verseuchte Websites.

Spam

Software, die sich unbemerkt vomBenutzer auf dem PC einrichtet undpersönliche Daten wie besuchteWebseiten oder auch Passwörterund Benutzernamen aufzeichnet undan fremde Personen weitergibt.

Spyware

Page 20: Kaspersky Virenlexikon

36

TTrojaner spiegeln dem Anwender eineandere Funktion vor, als sie tatsächlichhaben. So könnte ein Bildschirmschonermit einem Trojaner versehen sein, derunbemerkt vom Anwender eine Hintertürim Betriebssystem öffnet. Mittlerweilesind Trojan-Dropper beliebt, kleineProgramme, die an sich nicht schädlichsind, deshalb auch meist nicht vonAntivirus Software erkannt werden undnur die Aufgabe haben, Trojaner aus demInternet nachzuladen.

Trojaner (Trojan Dropper, Trojan Downloader…)

VEin Programm, das ausführbare Programme infiziert, indem es sich selbst in den ursprünglichen Programmcodehineinkopiert. Kann weitere Funktionen enthalten, ist aberkeine Voraussetzung.

Virus

WBenötigt nicht unbedingt ein anderesProgramm als Wirt, kann auch alseigenständiges Programm agieren.Wartet im Gegensatz zum Virus nichtpassiv auf seine Ausführung sonderversucht proaktiv andere Computer zuinfizieren.

Wurm

ZEin Angriff auf eine gerade bekanntgewordene Sicherheitslücke ineinem Programm oderBetriebssystem, für dienoch kein Patch existiert.

Zero-Day-Attacke

Glossar

Impressum

Das kleine Kaspersky-Virenlexikonerscheint bei derKaspersky Labs GmbHSteinheilstr. 13D-85053 IngolstadtTelefon +49 (0)841 - 981 89 [email protected]

VERTRETUNGSBERECHTIGTERGESCHÄFTSFÜHRERAndreas Lamm

TEXTElmar TörökProfiNet

REDAKTIONChristian Wirsig, Kaspersky Lab(V.i.S.d.P. - verantwortlich für den redaktionellen Teil)

Elke Wößnerwww.essentialmedia.de

ILLUSTRATIONENFlorian Mitgutschwww.mitgutsch.de

LAYOUTAhmida Laarabwww.247-design.de

INFORMATIONENCopyright bzw. Copyright-Nachweis für alleBeiträge bei Kaspersky Lab.Nachdruck - auch Auszugsweise - nur mitGenehmigung von Kaspersky Labs GmbH.© 2007 Kaspersky Labs GmbH

Page 21: Kaspersky Virenlexikon

Kaspersky Labs GmbHSteinheilstr. 13

D-85053 Ingolstadt

Telefon +49 (0)841 - 981 89 [email protected]

www.kaspersky.dewww.viruslist.de