Logo und Schriftzug Karsten Ritz DV-Beratungen
Karsten Ritz





Sonstiges | Veröffentlichungen

Viren, Würmer und Trojaner

in: HARTMANN-PLAN Newsletter 10/02

Es vergeht fast keine Woche, in der die Presse nicht über neue Computerviren berichtet. Was ist aber ein Computervirus und wie schützt man sich wirkungsvoll ? Dieser Artikel möchte darauf Antworten geben !

Ende September diesen Jahres tauchte der Wurm "Bugbear" im Internet auf. Er verbreitete sich schnell, indem er sich selber per E-Mail an die Adresseinträge der E-Mail-Programme verschickte. Die Gefährlichkeit von "Bugbear" liegt darin, daß er verschiedene Klassen von Computerschädlingen in sich vereint. Detaillierte Informationen zu "Bugbear" finden Sie unter [1].

Zur Übersicht hier eine Zusammenfassung der Klassen von "Malware" (schädliche Software), angelehnt an [2]:

Virus

Ein Virus ist ein Programm, das auf einem Computer mit dem Ziel ausgeführt wird, sich selber weiter zu verbreiten. Die meisten Viren haben zusätzlich Schadfunktionen, die die korrekte Funktion von Computern beeinträchtigen. Die Verbreitung von Viren erfolgt von Computer zu Computer bzw. auch innerhalb eines Computers über verschiedene Medien: Diskette, CD-ROM, E-Mail, Netzwerk. Viren werden (unbewußt) mit menschlicher Hilfe aktiviert (z.B. durch Starten von infizierten Programmen). Die Ausbreitungsgeschwindigkeit von Viren hängt von der Intensität der digitalen Kommunikation von Menschen untereinander ab.

Wurm

Würmer sind Programme, die sich nach ihrer Aktivierung ohne menschliches Zutun selbständig weiterverbreiten. Sie schicken sich selber per E-Mail an alle verfügbaren Internetadressen, um mit hoher Geschwindigkeit möglichst viele Computer zu befallen. Wie die klassischen Viren haben die meisten Würmer ebenfalls Schadfunktionen. Mit der zunehmenden Nutzung von E-Mail verbessern sich die Bedingungen und Ausbreitungsmöglichkeiten für Würmer immer weiter.   

Trojaner oder Trojanisches Pferd

Trojanische Pferde sind Programme, die auf den ersten Blick nützliche Funktionen haben (z.B. ein Bildschirmschoner, der eine witzige Animation zeigt). Im Hintergrund führen die Trojaner ihre Schadfunktionen aus. Dazu gehört z.B. das Ausspähen von Daten auf dem infizierten Computer, der Mißbrauch von Funktionen des Computers oder auch das Installieren von 0190-Dialern.


Alle Klassen von Computerschädlingen haben eins gemeinsam: Es handelt sich um Software und ist durch Menschen entwickelt und verbreitet worden. Das bedeutet, daß diese Software gestartet ("aktiviert") werden muß, um ihre Funktion auszuführen. Ziel von Abwehrmaßnahmen muß also sein, die Ausführung dieser Software zu verhindern.

Die meisten eingesetzten Computer sind Windows-PCs. Deshalb beziehen sich die folgenden Informationen auf diese Plattform.

Software auf Windows-PCs kann mit folgenden Methoden gestartet werden:

  1. Doppelklick auf ausführbare Dateien (z.B. mit Endung .COM, .EXE)
  2. Installieren von Software (meist SETUP.EXE)
  3. Doppelklick auf Skripte und Stapelverarbeitungsdateien (z.B. .VBS, .BAT)
  4. Öffnen von Dokumenten mit eingebetteten Makro-Funktionen (z.B. .DOC, .XLS)
  5. Einlegen von CD-ROMs mit Autostart-Funktion
  6. Einschalten des PC mit eingelegter Diskette oder CD-ROM mit Autostart-Funktion
  7. Öffnen von Internetseiten mit aktiven Inhalten
  8. Sonstige Möglichkeiten


zu 1.:

Klicken Sie nicht auf alle Dateien, die Ihnen, z.B. in E-Mail-Anhängen, zu Gesicht kommen ! Wenn Ihnen Dateiendungen nicht bekannt sind, fragen Sie beim Absender der Dateien (CD-ROM, Diskette, E-Mail etc.) nach, was in den Dateien enthalten ist und warum die Daten in einer ausführbaren Datei liegen. Im allgemeinen sollten Daten nicht in Form von ausführbaren Dateien versendet werden.

Gleiches gilt für Dateien, die Sie in Verzeichnissen auf Ihrem Computer oder im Netzwerk finden: Wenn die Funktion unbekannt ist, dann starten Sie die Programme nicht !

In den Standardeinstellungen von Windows ist leider die Anzeige von Dateiendungen unterdrückt. Einen Hinweis auf die Dateiendung einer Datei erhält man nur durch Dateisymbole. Sie sollten daher die Anzeige von Dateiendungen aktivieren, indem Sie im Windows-Explorer im Menü "Extras" die "Ordneroptionen" auswählen und bei "Ansicht" die Option "Dateinamenerweiterung bei bekannten Dateitypen ausblenden" deaktivieren und mit der Schaltfläche "Wie aktueller Ordner" auf alle Ordner anwenden.  

zu 2.:

Die wahllose Installation von Software erhöht das Risiko eines Virenbefalls. Widerstehen Sie der Versuchung, jede Software zu installieren, die Sie in die Hände bekommen (z.B. CD-ROM-Beilagen in Zeitschriften) !

Neben dem Problem, daß installierte Software bei Deinstallation häufig nicht rückstandslos entfernt wird und somit das Windows-System mit der Zeit "zugemüllt" und eventuell instabil wird, ist jede neu installierte Software eine potentielle Quelle von Computerschädlingen !

Wenn Sie unbedingt Programme "mal schnell ausprobieren" wollen, nehmen Sie dazu einen separaten PC (der möglichst keine Verbindung ins Internet oder zu anderen PCs hat) oder ein sogenanntes "Image" (Software, mit der PCs in einen vorigen Zustand versetzt werden können), um Ihr "Produktivsystem" nicht zu gefährden ! 

zu 3.:

Skripte und Stapelverarbeitungsprogramme dienen dazu, Aufgaben zu automatisieren und die Arbeit zu erleichtern. Sie können aber auch Schädlinge sein, die mit einfachsten Mitteln schwere Schäden in Ihrem System anrichten können. Starten Sie also keine Skripte, die Sie nicht kennen und deren Funktion Sie nicht abschätzen können. Für die Dateiendungen gilt das unter zu 1. Geschriebene.

zu 4.:

Die Office-Programme aus dem Hause Microsoft haben sich zum Standard entwickelt, um umfangreiche Daten auszutauschen. Beim Öffnen von fremden Office-Dokumenten ist aber zu beachten, daß sogenannte "Autostart-Makros" ausgeführt werden können, die einerseits nützliche Zusatzfunktionen zur Verfügung stellen können, andererseits aber auch Schädlinge sein können. Aus diesem Grund sollten Sie darauf achten, "Autostart-Makros" nicht automatisch ohne Nachfrage ausführen zu lassen.

Sie beeinflussen das Verhalten von Office-Komponenten indem Sie (z.B. in Word) im Menü "Extras", den Punkt "Makro" auswählen und im Untermenü "Sicherheit..." die Option "Hoch..." oder "Mittel: Sie können wählen, ob Sie nicht sichere Makros ausführen möchten." aktivieren.

Sollten Sie ein Dokument erhalten, das ein "Autostart-Makro" enthält, Fragen Sie beim Absender oder Ersteller nach, ob das Makro gewollt erstellt wurde !

zu 5.:

CD-ROMs starten häufig beim Einlegen in das Laufwerk automatisch Programme, Skripte oder Makros. Dieses Komfortmerkmal kann Computerschädlinge in Ihr Windows-System lassen.

Sie unterdrücken das automatische Starten durch Halten der Shift- (Umschalt-) Taste nach dem Einlegen der CD-ROM.

Für das automatische Starten von CD-ROMs gilt das unter zu 2. Geschriebene.

zu 6.:

Beim Einschalten des Computers sucht der "Urlader" (BIOS - Basic Input Output System) nach einem Betriebssystem. Alle verfügbaren Datenquellen werden in einer definierten Reihenfolge abgefragt, um ein Betriebssystem zu laden. Wenn im Diskettenlaufwerk oder auf dem CD-ROM des Computers ein Betriebssystem verfügbar ist, wird es automatisch geladen. Unter Umständen kann dies aber auch ein Virus sein, der sich in den Speicher lädt und danach das Betriebssystem von der nächsten verfügbaren Quelle startet. Der Virus kann dann im Hintergrund unbemerkt seine Funktionen ausführen.

Zum Schutz sollten Sie keine Disketten oder CD-ROMs in den Laufwerken lassen, wenn Sie den Computer ausschalten. Da dies aber leicht vergessen wird, ist es wirksamer, in den BIOS-Einstellungen die Ladereihenfolge zu verändern. Zur Installation des Betriebssystems muß der Computer von einer Diskette oder einer CD-ROM gestartet werden. Im täglichen Gebrauch startet der Computer aber immer von der Festplatte. In den BIOS-Einstellungen besteht die Möglichkeit, als Startdatenquelle ausschließlich eine Festplatte anzugeben und Diskettenlaufwerk sowie CD-ROM zu übergehen..

zu 7.:

Beim Ansehen von Internet-Seiten werden außer statischen Informationen in der Seitenbeschreibungssprache HTML (Hypertext Markup Language) auch sogenannte aktive Inhalte geladen. Dies sind Skripte oder Programme, die die Seiten attraktiver machen oder den Bedienungskomfort erhöhen (z.B. Hover-Effekte wie bei den Piktogrammen in www.hartmann-plan.de). Neben "guten" aktiven Inhalten gibt es aber leider auch aktive Inhalte, die Computerschädlinge auf den anzeigenden Computer bringen.

Problematisch sind auch E-Mails, die in HTML verfaßt sind und im E-Mail-Programm mit Hilfe des Internet-Browsers (Programm zur Darstellung von Internet-Seiten) angezeigt werden.

Der zur Zeit am weitesten verbreitete Internet-Browser ist der "Internet-Explorer" von Microsoft. Im folgenden Stelle ich Einstellungen vor, die vor vielen Angriffen durch aktive Inhalte beim "Internet-Explorer" schützen. Sie finden die Einstellungen, indem Sie im "Internet-Explorer" im Menü "Extras", "Internetoptionen", "Sicherheit" die Zone "Internet" wählen und auf die Schaltfläche "Stufe anpassen" klicken:

  • Deaktivieren Sie alle Optionen im Bereich "ActiveX-Steuerelemente und Plugins". ActiveX-Steuerelemente können beliebige Programme auf Windows-PCs ausführen. Diese Programme haben die Benutzerrechte des angemeldeten Benutzers und können somit tief in das System eingreifen. Plugins (Programme, die die Standardfunktionalität des "Internet-Explorers" erweitern) wie Macromedia Flash oder das Acrobat-Plugin funktionieren mit diesen Einstellungen allerdings nicht mehr. Wenn Sie eine PDF-Datei ansehen möchten, dann speichern Sie die Datei auf Ihrem PC und öffnen Sie sie anschließend mit dem Acrobat-Reader (außerhalb des "Internet-Explorer").
  • Wählen Sie "nach Benutzername und Kennwort fragen" bei der "Benutzerauthentifizierung". Dies stellt sicher, daß keine Benutzernamen und Kennwörter im System gespeichert werden und somit auch nicht ausgespäht werden können.
  • Wählen Sie "Hohe Sicherheit" bei "Microsoft VM, Java-Einstellungen". Java-Applets (kleine Programme, die mit der systemunabhängigen Plattform "Java" entwickelt wurden) werden in einer sogenannten "Sandbox" ("Sandkiste") ausgeführt und können nicht aus Ihrem Ausführungsbereich ausbrechen.
  • Im Bereich "Scripting" gibt es verschiedene Konfigurationsphilosophien. Viele Experten raten dazu, alle Scripting-Optionen zu deaktivieren, um Skriptviren keine Chance zu geben, auf dem Computersystem aktiv zu werden. Ich bevorzuge jedoch, die Scripting-Optionen zu aktivieren, um sinnvolle Zusatzfunktionen in Internet-Seiten zu nutzen. Praktisch kein Internet-Auftritt verzichtet heute auf DHTML (Dynamisches HTML), das nur mit aktiviertem Scripting genutzt werden kann. Aber Achtung: Aktiviertes Scripting muß durch die übrigen beschriebenen Einstellungen des "Internet-Explorers" ergänzt werden !
  • Unter "Verschiedenes" sollten folgende Einstellungen gewählt werden:
    • "Auf Datenquellen über Domaingrenzen hinweg zugreifen": deaktiviert
    • "Dauerhaftigkeit der Benutzerdaten": deaktiviert
    • "Gemischte Inhalte anzeigen": deaktiviert
    • "Installation von Desktop-Objekten": deaktiviert
    • "Keine Aufforderung  zur Clientzertifikatsauswahl, wenn kein oder nur ein Zertifikat vorhanden ist": deaktiviert
    • "META REFRESH zulassen": deaktiviert
    • "Programme und Dateien in einem IFRAME starten": deaktiviert
    • "Subframes zwischen verschiedenen Domänen bewegen": deaktiviert
    • "Unverschlüsselte Formulardaten übermitteln": aktiviert - Wenn Sie persönliche Daten in Formulare eintragen, dann fragen Sie sich, was passieren könnte, wenn diese Daten in falsche Hände geraten ! Im Zweifelsfall nehmen Sie Abstand vom Versenden der unverschlüsselten Daten (z.B. Kreditkartendaten) ! Sensible Daten sollten allerdings auch nur dann verschlüsselt verschickt werden, wenn die Empfängerseite vertrauenswürdig ist ! Verschlüsselung erfolgt mit dem SSL-Protokoll (Secure Socket Layer). Sie erkennen ein verschlüsselndes Formular am Schloß unten rechts in der Statusleiste des "Internet-Explorers".
    • "Ziehen und Ablegen oder Kopieren und Einfügen von Dateien": deaktiviert
    • "Zugriffsrechte für Softwarechannel": Hohe Sicherheit

Bitte beachten Sie, daß diese Einstellungen einen Kompromiß zwischen Komfort und Sicherheit darstellen. Um Ihre Einstellungen zu testen, können Sie unter [3] einen Browser-Check durchführen, um mögliche Sicherheitsprobleme in Ihrer Konfiguration abzuschätzen.

zu 8.:

Natürlich kann ein Programm auch ganz normal über eine Programmverknüpfung, z.B. im Startmenü von Windows, gestartet werden. Diese "normale" Nutzung ist gewöhnlich unproblematisch, es sei denn, das Computersystem ist schon mit einem Virus infiziert. Zum Schutz vor Computerschädlingen sollte daher Antivirensoftware eingesetzt werden. Wichtig dabei ist die Aktualität der sogenannten "Virensignaturen" (Erkennungsmuster, die die Antivirensoftware verwendet, um Viren aufzuspüren).


Viren, Würmer und Trojaner sind heute weit verbreitet. Es besteht aber kein Grund, sich dadurch von der Nutzung des Internets als modernes Kommunikationsmedium abhalten zu lassen. Computerschädlingen sollte durch ein durchgängiges Sicherheitskonzept mit effektiven Schutzmaßnahmen (siehe auch [4]) begegnet werden.

Für Fragen stehe ich gerne per E-Mail oder Telefon 04193 / 75 90 - 0 zur Verfügung.

Links

[1] http://www.viren-wuermer-trojaner.de/tipps_virus_bugbear_tanatos.html
[2] http://www.symantec.com/region/de/avcenter/
[3] http://www.heise.de/ct/browsercheck/
[4] Newsletter 02/01: EDV: Sicherheit im Internet

 

Startseite    Inhaltsverzeichnis    Referenzprojekte    Kontakt    Impressum

Systemanalyse    DV-Konzeption    Controlling    Systementwicklung    Internet/Intranet    Schulungen