Malware

1
Malware
Seminar Internettechnologie Andreas Dinkel
2
Gliederung

• Was ist Malware?
• Verschiedene Typen der Malware
• Computerviren
• Würmer
• Trojanische Pferde
• Spyware
• Rootkits
• I-Worm.LoveLetter
• Analyse des Quellcodes
• Pseudocode
• Schutzmaßnahmen
• Praxis-Teil

3
Was ist Malware?

• Der Begriff Malware ist eine Abkürzung von
  "malicious software", d. h. böswillige Software.
• Computerprogramme, die entwickelt wurden, um vom
  Benutzer unerwünschte und ggf. schädliche
  Funktionen auszuführen. Dieser Begriff bezeichnet
  keine fehlerhafte Software, auch wenn diese
  Schaden anrichten kann.
• Malware wird von Fachleuten der
  Computersicherheitsbranche als Über-/Sammelbegriff
  verwendet, um die große Bandbreite an
  feindseliger, intrusiver und/oder unerwünschter
  Software oder Programmen zu beschreiben.

4
Was ist Malware?

• Juli September 2009
• PandaLabs

5
Computerviren

• Ein Virus ist ein Programm, das sich repliziert,
  indem es andere Programme infiziert, sodass diese
  eine Kopie des Virus enthalten.
• Ein Virus ist ein Programm, dessen Hauptaufgabe
  die Reproduktion (Verbreitung) durch Infizierung
  ist! Ein Virus muss also nicht zwingend
  destruktiv sein.

6
Würmer

• primäres Ziel Reproduktion, wie bei Viren
• andere Verbreitungsweise als bei Viren
• Verbreitung finden über E-Mail Systeme,Schwachstel
  len von Betriebssystemen/Diensten statt
• sind nicht auf ein Wirtsprogramm angewiesen

7
Trojanische Pferde

• Das primäre Ziel von Trojanern ist die versteckte
  Ausführung von bestimmten Funktionen im Auftrag
  eines Angreifers
• haben immer eine versteckte Schadensroutine
• Die Reproduktion spielt wenig bis kaum eine Rolle
• tarnen sich für Benutzer als nützliche
  Programme/Funktionen
• schwer erkennbar,weil keine massenweise
  Verbreitung
• arbeiten sehr oft als Client-/Server Applikation,
  d.h. sie sind von einem entfernten Angreifer fern
  steuerbar (Backdoors, Rootkits)?

8
Trojanische Pferde

• Funktionen
• Ausspähen und Übermittlung von Benutzerdaten
  (Online-Dienste, Passwörter, Kreditkartennummern,
  Bankzugänge usw.)?
• Aufzeichnung und Übermittlung von
  Tastaturanschlägen (Keylogger)?
• Durchsuchen des Rechners und Übermittlung von
  Passwortdateien und Dokumenten

9
Spyware

• Erweiterung von Adware ( werbefinanzierten
  Software)?
• Funktion der Werbezusätze ist nicht immer
  nachvollziehbar
• sammelt teilweise recht umfangreiche Daten des
  Benutzer
• Surfverhalten, Kreditkartennummern, Adressdaten
  usw.

10
Rootkits

• ist eine Sammlung von Softwarewerkzeugen
• verhindern, das der Einbruch ins System bemerkt
  wird
• Dem Angreifer ermöglichen, das System dauerhaft
  zu kontrollieren
• Dem Angreifer ermöglicht weitere Systeme
  anzugreifen
• keine Reproduktion und eigene Schadfunktion

11
Rootkits

• Fähigkeiten
• Das Verbergen von Dateien, Prozessen, offene
  Ports, usw. vor den Benutzern des Systems
• Verändern der System-Logs, zum Beispiel um
  Anmeldungsvorgänge zu verstecken
• Verändern von Systemstatistiken um normalen
  Betrieb vorzutäuschen
• Eventuell aktive Abwehr von Sicherheitssoftware

12
I-Worm.LoveLetter

• 4 Mai Jahr 2000
• Rund um die Welt in 1-2 Tagen
• Schäden in Milliardenhöhe
• ist ein Visual Basic Scriptvirus
• Ausbreitung findet über Windows-Emailproramme
  statt (Outlook)
• Mailprogramme die aktive Inhalte ausführen können
  oder dürfen
• Quellcode ohne Probleme lesbar
• in Oktober schon 92 Varianten

13
I-Worm.LoveLetter
Quelle Analyse einiger typischen Computerviren,
Nikolaus Rameis
14
Analyse des Quellcodessub main ()

• Programmierer hat sich selbst verewigt

• wenn Laufzeitfehler auftritt den Script weiter
  fortsetzten und nicht abbrechen

• objektorientiert auf das ganze Funktionsspektrum
  vom Windows Scripting Host zugreifen

15
Analyse des Quellcodessub main()

• hier werden spezielle Verzeichnisse C\WINDOWS,
  C\WINDOWS\SYSTEM, C\WINDOWS\TEMP in Erfahrung
  gebracht

• Mit GetFile erfährt der Worm seinen eigenen
  Dateinamen, um ...

• sich selbst ins Windows- und Windows-System-
  Verzeichnis zu kopieren
• diese Dateien werden mit jedem Windows-Start
  ausgeführt

16
Analyse des Quellcodessub regruns()

• zwei Autostart Möglichkeiten in
  Windows-Registry

• aus der Registry wird der IE Standard-Download-Ver
  zeichnis ausgelesen

• kein Verzeichnis definiert wird eine angelegt

17
Analyse des Quellcodessub regruns()

• hier wird überprüft, ob der WIN-BUGFIX.exe
  Trojaner
• heruntergeladen und installiert worden ist

18
Analyse des Quellcodessub regruns()

• hier wird der Trojaner in die Registry
  eingetragen und die Startseiten von IE auf
  blank gesetzt

19
Analyse des Quellcodessub listadriv()

• fso.Drives gibt die Anzahl der Laufwerke in dc
  zurück

• für jedes gefundenes Laufwerk(lokale und
  Netzlaufwerke) wird mit subroutine forderlist()
  eine Verzeichnisliste angelegt

20
Analyse des Quellcodessub infectfiles(folderspec)

• fc gibt die Anzahl der Dateien in angegebenen
  Verzeichnis an

• wenn die Dateierweiterung passt, wird die
  infiziert (überschrieben)

• Infektion von Visual Basic Script-Dateien

21
Analyse des Quellcodessub infectfiles(folderspec)

• die angegebene Datei wird mit eigenen Code
  überschrieben

• Infektion von JavaScripts, CascadingStyleSheets,
  Windows Scripting Host, oder anderen HTML-Dateien

• kopiere den Namen der Datei (tolles_bild.jpg)
• erstelle eine neue mit dem eigenen Code
  (tolles_bild.jpg.vbs)
• lösche das Original

22
Analyse des Quellcodessub infectfiles(folderspec)

• alle Wirtsdateien werden zerstört, außer mp3 und
  mp2 von denen erstellt der Wurm eine Kopie

• hier wird die mIRC Script-Datei geöffnet und
  verändert

23
Analyse des Quellcodessub infectfiles(folderspec)

• hier wird per mIRC eine infizierte HTM Datei
  verschickt

24
Analyse des Quellcodessub infectfiles(folderspec)
Quelle Analyse einiger typischen Computerviren,
Nikolaus Rameis
25
Analyse des Quellcodessub spreadtomail()

• CreateObject(Outlook.Application) ist für die
  Kommunikation mit dem Email-Programm zuständig.
  Funktioniert nur mit Outlook 97 und 2000 und
  nicht mit dem Express-Versionen

• mapi.AdressLists.Count gibt die Anzahl der
  Kontakte im Outlook zurück

26
Analyse des Quellcodessub spreadtomail()

• wenn der Registry-Eintrag leer ist, der Brief
  wurde noch nicht verschickt

• hier wird der Brief verfasst

27
Analyse des Quellcodessub spreadtomail()

• hier wird vermerkt das der Brief verschickt wurde

28
Pseudocode
29
Schutzmaßnahmen

• Anti-Virus Programm, Firewall
• Updates von Betriebssystemen, Anti-Virus
  Programmen, Webbrowser usw.
• Vorsicht bei öffnen der Mails
• Programme von Herstellerseiten benutzen
• Nicht vertrauenswürdige Seiten meiden

30
Quelle

• Quarterly Report PandaLabs July-Semptember 2009
• Analyse einiger typischen Computerviren, Nikolaus
  Rameis
• Rootkits, Johannes plötner
• http//www.pc-special.net/sicherheit-f192/malware-
  viren-wurmer-und-kein-ende-t28659.html
• http//tugll.tugraz.at/07security/weblog/5435.html
  
• http//www.security-dome.eu/Klassische_Malware_-_B
  egriffserklaerung_Teil_1.html

31

• Vielen Dank für Ihre Aufmerksamkeit!
• Fragen?

32
Praxis-Teil

• DNS/ARP-Spoofing,MITM-Attacke
• ms09-002 exploit (IE7)
• Remotecodeausführung
• Tools
• ettercap Metasploit Framework 3