Skip to content

Viren - Mit 61 Jahren ist noch lange nicht Schluss

Nach der Blütezeit in den 90er Jahren ging die Bedeutung der Viren zurück. Sie wurden von Würmern verdrängt, die sich im Gegensatz zu den für ihre Verbreitung auf Benutzeraktionen angewiesenen Viren selbständig verbreiten können. Und auch die Würmer werden inzwischen von Drive-by-Infektionen be-, wenn nicht sogar verdrängt. Aber trotzdem gibt es noch Viren, denn sie haben gegenüber Würmern und Drive-by-Infektionen einen Vorteil: Das Infizieren von Dateien ist unabhängig von Schwachstellen möglich. Gut möglich, dass ihnen deshalb eine neue Blütezeit bevor steht.

Ein Virus mit langer Karriereleiter

Sality ist ein Virus, der Mitglied einer erstmals 2003 entdeckten gleichnamigen Schadsoftware-Familie ist und u.a. von einem zugehörigen Wurm eingeschleppt wird, sich aber auch selbst mit Hilfe der AutoRun-Funktion über mobile und entfernte Laufwerke verbreitet. Ein ebenfalls zur Familie gehörender Trojaner nutzt die zuerst von Stuxnet ausgenutzte Shortcut-Lücke zur Verbreitung.

Der Virus schleust seinen Code in alle laufenden Prozesse ein, meidet aber vom Windows System File Checker (SFC) geschützte Dateien sowie Dateien, deren Name mit bestimmten Strings beginnt. Die Schadfunktionen umfassen u.a. das Ausschalten von Schutzprogrammen sowie allgemein eine Schwächung der Sicherheitsfunktionen. Außerdem kann Sality weiteren Schadcode nachladen und den infizierten Rechner in ein P2P-Botnet integrieren. Der Virus nutzt verschiedene Möglichkeiten zur Tarnung, einige Versionen des Virus sind allerdings schlecht programmiert, so dass infizierte Dateien nicht mehr ausführbar sind. Sality kann von den meisten Virenscannern entfernt werden, manche verzichten aber darauf, alle Manipulationen rückgängig zu machen.

Ein Virus im Compiler

Induc ist ein Virus, der schon bei seiner Entdeckung 2009 veraltete Versionen der Delphi-Entwicklungsumgebung infiziert. Alle danach damit kompilierten Programme sind ebenfalls infiziert. Die Schadfunktion des Virus ist beschränkt: Er sucht nach vorhandenen Delphi-Entwicklungsumgebungen und infiziert diese. Außer sich selbst zu verbreiten, macht der Virus also gar nichts. Aber das sehr effektiv: Innerhalb weniger Tage wurden von Sophos mehr als 3000 infizierte Programme entdeckt. Darunter auch Onlinebanking-Trojaner - der Virus macht natürlich auch vor den Entwicklungsumgebungen anderer Schadsoftware-Entwickler nicht Halt. Auch unter den weiteren infizierten Programmen sind einige, die man vermutlich nicht unbedingt auf seinem Rechner haben möchte. Aber natürlich werden auch völlig harmlose Programme infiziert, wenn deren Entwickler eine infizierte Entwicklungsumgebung nutzen.

Auch Stuxnet nutzt übrigens eine ähnliche Taktik zur Verbreitung: Der Wurm infiziert Projekte für die Step7-Entwicklungsumgebung. So genannte "transitive Trojanische Pferde" könnten Viren einen neuen Aufschwung verleihen, liegt es doch nahe, bei ständig zunehmender allgemeiner Sicherheit Programme bereits während der Entwicklung zu infizieren und damit deren vertrauenswürdige Verbreitungswege auszunutzen. McAfee berichtete schon im April 2009 über einen Virus, der sich in die Installationsprogramme harmloser Programme einschleust.

Andere Schädling nutzen infizierte Multimedia- oder HTML-Dateien zur Verbreitung, sind dann aber wieder auf das Vorhandensein von Schwachstellen angewiesen.

Ein Virus in EXE, HTML, PHP und ASP

Ein weiterer, sehr aktiver Virus ist Virut, der sich über ausführbare Dateien und Web-Dateien (z.B. HTML, PHP, ASP) verbreitet und die infizierten Rechner in ein Botnet integriert. Das konnte im Sommer 2010 zum Teil ausgeschaltet werden. Besonders beachtenswert ist auch die Auswahl der Ziele: Virut hat es nicht nur auf die ausführbaren Programme auf Client-Rechnern abgesehen, sondern nimmt auch Webserver bzw. -anwendungen aufs Korn.

Kleine Anekdote am Rande: Im Frühjahr 2009 wurde von einer Virut-Variante der Houston Municipal Court in Texas lahm gelegt, nachdem 475 Computer infiziert wurden.

Ein Virus mit vielen Namen

Um die Verfolgung der Viren nicht zu einfach zu machen, verwenden die Antivirenhersteller mitunter unterschiedliche Namen für den gleichen Schädling. Eine ausgefeiltere Variante von Virut wird von Symantec z.B. als Virut.CF bezeichnet, von Trend Micro aber als Mitglied einer neuen Virenfamilie namens Virux geführt, während Sophos Scribble bevorzugt, manche Varianten aber auch als Vetor bezeichnet. Alles klar?

Ein Virus mit 32 Bit zu viel oder zu wenig

Das Aufkommen von 64-Bit-Systemen bringt viele Schadsoftware und vor allem Viren in Bedrängnis: Kommen die mit den zusätzlichen 32 Bit nicht klar, stürzen sie ab - und im Fall von Viren bedeutet das auch das Ende des infizierten Programms. Zwar können 32-Bit-Prozesse und damit auch Viren nur auf andere 32-Bit-Prozesse zugreifen, im Dateisystem gilt diese Einschränkung jedoch nicht, so dass auch die Dateien von 64-Bit-Programmen mit dem 32-Bit-Code infiziert werden. Der Virus kommt so zwar nicht weiter, sorgt aber u.U. für großen Schaden. Er gibt auch schon erste Schädlinge, die für 64-Bit-Systeme entwickelt wurden, generell haben Viren aber Probleme mit der Erkennung für sie geeigneter oder ungeeigneter Dateien und infizieren lieber falsche Dateien, als eine geeignete auszulassen.

Ein Virus im Wurm oder Trojaner

Viren infizieren alle Dateien, sofern sie in ihr "Beutemuster" passen. Wenn .EXE-Dateien infiziert werden, dann werden alle .EXE-Dateien infiziert, auch wenn es sich selbst um Schadsoftware handelt, usw. usf.. Daher ist unklar, ob mit Viren infizierte Würmer oder Trojaner absichtlich oder unabsichtlich infiziert wurden. Immerhin ermöglicht die Kombination eines Virus mit einem anderen Schädling neue Verbreitungswege: Kommt der "Wirt" mangels auszunutzender Schwachstelle irgendwann nicht mehr weiter, bleibt immer noch der Virus zur Infektion weiterer Systeme aktiv.

Viren der besonderen Art

Ein absoluter Virus-Exot wurde 2009 entdeckt: Ein ASCII-Virus für DOS. Da Viren nicht aussterben, sondern nur seltener werden, können auch alte Viren aktuelle Systeme infizieren, wie ESET am Beispiel eines Bootsektor infizierenden Virus gezeigt hat. Bootsektor-Viren werden übrigens auch heute noch entwickelt. Ein aktuelles Exemplar eines den Master Boot Record (MBR) infizierenden Virus ist der im März 2010 von Symantec entdeckte Trojan.Mebratix.B, der über Drive-by-Infektionen verteilt wird. Nur, weil Viren veraltet sind, bedeutet das nicht, dass sie harmlos sind oder dass keine neuen mehr entwickelt werden.

Soviel vorerst zu Viren bzw. Dateien infizierenden Schädlingen. In der nächsten Folge ist der Wurm drin: Nach den Viren kamen die Würmer, die sich selbst neue Opfer suchen und nicht auf Benutzeraktionen angewiesen sind.

Carsten Eilers


Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware
Ransomware: Geld her, oder die Daten sind weg
Spyware - Der Spion in Ihrem Computer
Viren
Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
Viren - Die "Goldenen 90er" läuten den Niedergang ein
Viren - Mit 61 Jahren ist noch lange nicht Schluss
Würmer - Schadsoftware, die sich selbst verbreitet
Trojaner - Der Feind im harmlosen Programm
Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
Exploit-Kits - Die Grundlage für Drive-by-Infektionen
Rootkits - Schadsoftware im System
Remote Administration Toolkits - Fernwartung in der Grauzone
Botnets - Zombie-Plagen im Internet
Schadsoftware - Infektionen verhindern
Schadsoftware im Überblick

Trackbacks

Dipl.-Inform. Carsten Eilers am : Warum man Schadcode nie ungefragt durch harmlosen Code ersetzen sollte

Vorschau anzeigen
Wie angekündigt geht es heute um die Frage, wieso es eine schlechte Idee ist, nach der Übernahme eines Botnets den Schadcode auf den einzelnen Bots durch harmlosen Code zu ersetzen. Mal abgesehen davon, dass so eine Manipulation fremder

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.