Bedrohung

Computerviren

Virus Construction Kits: Die neue alte Plage

Von Ralph Dombach, München

Wurmgeneratoren und Virus Construction Kits sowie die damit erstellten Schädlinge sind eine aktuelle Plage. Allerdings stellen sie keine neue Bedrohung dar, wie ein Blick in die Vergangenheit zeigt, und zudem eine, der man gut mit verfügbaren Abwehrmitteln und -strategien begegnen kann – auch wenn diese teilweise unkonventionell erscheinen.

Gegenwärtig müssen sich Virenschützer gegen die vierte Entwicklungsstufe der elektronischen Schädlinge behaupten. Dabei kennzeichnet nicht die technische Entwicklung diese Generationen, sondern primär die Art ihrer Ausbreitung.

Am Anfang waren es die Bootsektorviren, die über Disketten von PC zu PC wanderten. Namen wie Stoned oder Form sind sicherlich noch vielen Opfern im Gedächtnis. Abgelöst wurde diese verhältnismäßig einfache Virenart durch Programmviren, die ausführbare Dateien mit der Namenserweiterung .COM oder .EXE infizierten. Der Programmaustausch der Anwender untereinander war einfach die bessere Methode, andere PCs und Programme anzustecken. Und Jerusalem- oder der 4096-Virus waren die Schrecken ihrer Zeit und zeigten, wie wirkungsvoll Computerviren damals agieren konnten.

Anwendungsprogramme wurden jedoch immer umfangreicher und ließen daher nicht mehr problemlos per Diskette weitergeben. Die Virenbastler schenkten ihre Aufmerksamkeit einem neuen Opfer und bevorzugen nun diejenigen Dateien, die immer noch fleißig unter den Anwendern kursieren: Office-Datendateien. Egal ob Briefe, Präsentationen oder Tabellenkalkulationen, alles konnte über Makro-Viren wunderbar als virulenter Träger missbraucht werden. Der NOP- oder Laroux-Virus waren typische Vertreter für diese dritte Evolutionsstufe.

In der jetzigen, vierten Stufe sind es Skript-Viren, die dem Anwender und Virenschützer gleichermaßen das Leben schwer machen. Exemplare wie der Melissa- oder Kournikova-Virus erlangten eine zweifelhafte Berühmtheit. Was mit der Makrosprache anfing, findet bei Skript-Viren eine konsequente Fortsetzung. Detailliertes Expertenwissen über das Betriebssystem, Interrupts, Systemroutinen oder Datenstrukturen ist nicht mehr erforderlich. Auch den Umgang mit einem Assembler oder Erfahrungen mit einzelnen Debug-Mechanismen kann man sich schenken. Heute genügt schon ein einfacher Texteditor, mit dem man einen bestehenden Skript-Virus modifizieren kann, um selbst als "Virus-Schöpfer" aufzutreten.

Wem auch das noch zu kompliziert ist, der greift einfach auf ein Virus Construction Kit (VCK) zurück und erstellt mit diesem seinen eigenen, ganz speziellen Virus. Welches Potenzial derartige Kreationen haben, zeigte der Kournikova-Wurm (alias VBS.SST@mm, I-Worm.Lee.o, VBS_Kalamar, Vbswg.J, ...), der sich Mitte Februar 2001 durch die Datennetze ausgebreitet hat. Der unter dem Pseudonym "On the Fly" agierende Virenschöpfer stellte sich zwischenzeitlich der Polizei und erwartet demnächst seine Verhandlung. "On Thy Fly" drohen bis zu vier Jahre Gefängnis und eine hohe Geldstrafe. Nach eigener Aussage wollte er die Anwender lediglich auf die Gefährlichkeit von Computerviren hinweisen und der Tennisspielerin Anna Kournikova etwas Publicity bescheren.

Zum Glück für all die Anwender, die ihre Neugier nicht bezähmen konnten und auf das vermeintliche Foto der russischen Tennisspielerin klickten (und damit den Viruscode aktivierten), löscht dieser Schädling keine Dateien. Der Kournikova-Wurm breitet sich "nur" aus. Dass dieses selbstständige Versenden von Viruskopien an Empfänger im E-Mail-Adressbuch auch einen Sabotageakt darstellt übersieht man leicht. Dabei kann unter Umständen der entstehende Schaden am eigenen Renommee wesentlich gravierender sein als derjenige durch gelöschte Dateien. Denn ein möglicher Kunde wird sich oft fragen, wie sicher die EDV eines Geschäftspartners ist, wenn dieser (unwissentlich) Computerviren verschickt.

Comeback

Derzeit dominieren Skript-Viren die Virusszene, Virus Construction Kits erleben einen zweiten Frühling. Wer einen Blick in die Top-Ten-Listen der Anti-Viren-Software-Hersteller wirft, wird immer mehr Skript-Viren und Mass-Mail-Würmer entdecken. Ein Grund dafür mag die Existenz der Virus Construction Kits sein, die es auch den unerfahrenen Anwendern ermöglichen, einen Virus zu erstellen. VCKs sind aber kein neues Problem unserer Tage. Bereits 1991 gab es "VCS" vom "Verein der deutschen Virenliebhaber". Im Laufe der Jahre tauchten immer raffiniertere Werkzeuge auf, zum Beispiel 1994 der "Nuke Randomic Life Generator" oder 1996 Nightmare Jokers "Word Macro Virus Construction Kit".

[Screenshot]
Oberfläche des Wurmgenerators

Gegenwärtig dürfte der "Wurmgenerator" einen Höhepunkt an Bedienerfreundlichkeit darstellen (VBS Worms Generator, VBSWG, so die Bezeichung durch die Anti-Virus-Industrie). Mit einer früheren Version dieses Tools erstellte "On the Fly" seinen Kournikova-Wurm. Durch einen Mausklick auf die diversen Schaltflächen, kann ein Anwender im Detail definieren, welche Dateien infiziert werden sollen, welche Schadfunktion der Wurm ausführt und ob eine spezielle Kodierung die Entdeckung durch Virenscanner erschweren soll. Mit einem abschließenden Mausklick auf "Generate" erstellt das Tool den Wurm und dieser kann per E-Mail an gutgläubige Opfer verteilt werden.

[Screenshot]
Auswahl der zu infizierenden Opfer

Das Gefährdungspotenzial von Tools wie dem Wurmgenerator ist nicht zu unterschätzen. Etliche neue Viren nach dem bewährten Muster von Melissa, LoveLetter und Kournikova sind damit vorhersehbar. Wie schnell dabei ein "Ich wollte doch nur mal probieren, was möglich ist" ins Auge gehen kann, wird "On the Fly" demnächst am eigenen Leib erfahren. Auch der Hersteller des Wurmgenerators reagierte zwischenzeitlich. Auf seiner WebPage konnte man am 16. März 2001 lesen:

I've decided to stop the develop of xxxxx because i've heard that some people wanna put me in jail, and i don't wanna goto jail, so, i'll stop the program an delete the links to it until i know i'm safe. Maybee i'll release the code.
Sorry, :o(

[Screenshot]
Mögliche Aktionen eines VBSWG-Virus/Wurms

Abwehr

Wie kann man sich nun der potenziellen Gefahr durch automatisiert erzeugte Skript-Viren erwehren? Ein erprobtes Mittel ist sicherlich der Einsatz eines Virenscanners. Dabei sollte man unbedingt eine duale Strategie fahren und neben einem zentralen Virenscanner, der an ein E-Mail-Gateway gekoppelt ist, auch einen lokalen Virenscanner am PC einsetzen. Dies erhöht die Sicherheit, da beispielsweise verschlüsselte Nachrichten am zentralen E-Mail-Gateway meist nicht überprüfbar sind. Ebenso empfiehlt es sich, verfügbare Sicherheitspatches einzusetzen oder auch die Möglichkeit zu nutzen, die direkte Ausführung von Skript-Programmen am PC zu verhindern (siehe Schwarzweißmalerei, KES 2000/4, S. 10).

Aber man sollte sich auch nicht scheuen, alternative oder sogar unkonventionelle Wege bei der Virenabwehr zu beschreiten. VCK-Würmer benutzen üblicherweise eine Mass-Mailer-Funktion, um sich möglichst schnell zu verbreiten. Dabei wird an alle oder eine größere Anzahl von Adressaten per E-Mail eine Kopie des Schädlings versendet. Diese Überflutung stellt aus Sicht der Virenschreiber trotz meist schneller Entdeckung eine gewisse Erfolgschance auf Ausbreitung dar, die bei einer geringeren Verbreitungsrate nicht gegeben wäre. Üblicherweise bieten die Anti-Viren-Software-Hersteller ja bereits nach kurzer Zeit entsprechende Gegenmittel an.

Dieses Verhalten ermöglicht aber auch Ansätze, derartige Mass-Mailer-Aktionen unabhängig von einem Virensuchmuster zu erkennen. Denn die E-Mails, die als Wurm-Träger fungieren, haben oft ein einheitliches Aussehen. Erhalten beispielsweise viele Mitarbeiter einer Firma eine E-Mail mit einem identischen Betreff oder einer identischen Dateianlage, könnte dies bereits ein Hinweis auf einen aktiven Mass-Mail-Virus sein. Auch wenn die angehängte Datei eine "doppelte Namenserweiterung" hat (fotomodel.jpg.vbs), ist dies eine wertvolle Warnung. Diese Camouflage wird beim Anwender leider häufig nicht offensichtlich, wenn Mail-Client oder Betriebssystem diesem nur den Namensanteil fotomodel.jpg anzeigen (vgl. KES 2000/4, S. 10). Allerdings sollte man nicht einfach nach zwei Punkten im Namen suchen, sonst sorgen auch datierte oder versionierte Dateinamen wie "bericht-01.01.2001.pdf" oder "supertool-2.1.zip" für Fehlalarme.

Allerdings lernen die Virenprogrammierer dazu und reduzieren derartige Schwächen. Veränderliche Betreff-Texte oder Dateianhänge mit unterschiedlichen Namen sind bei einigen Würmern schon fest einprogrammiert. Der Wurm SirCam, der Mitte August aufgetaucht ist, unterscheidet sogar zwischen englischen und spanischen Windows-Installationen und wählt für seine Massenmails die entsprechende Sprache. Allerdings wurde SirCam auch nicht per VCK gebastelt.

Unkonventionell aber wirksam ist es, E-Mails mit ausführbaren Datei-Anlagen am E-Mail-Gateway auszufiltern. Denn der normale Anwender sollte überwiegend Dokumente erhalten anstatt ausführbarer VB-Skripte (oder Programme, die auch Trojanische Pferde sein können). Wer solch eine Lösung umsetzen kann, hat schon einen großen Schritt zur Reduzierung der Gefahr durch Mass-Mailer gemacht. Allerdings darf man dabei nicht die Software-Entwickler und Administratoren übergehen, die auch beabsichtigterweise ausführbaren Programmcode per E-Mail erhalten.

Das Risiko von Office-Dokumenten mit Makro-Viren bleibt aber nach wie vor bestehen. Sicherlich kann man in diesem Fall zur Nutzung eines Datei-Viewers statt der jeweiligen Applikation raten, der die Dokumente nur anzeigt, aber darin enthaltene Makros nicht ausführt und somit eine Infektion verhindert. Da aber Makros mitunter erforderlich sind und die Dokumente oft auch bearbeitet werden müssen, scheint ein Viewer nur in speziellen Umgebungen gangbar. Universeller einsetzbar ist sicherlich ein On-Access-Virenscanner (Virenwächter), der jede Datei überprüft, sobald sie benutzt wird – auch wenn es immer ein Restrisiko gibt, dass dabei ein neuer Wurm oder modifiziertes Virus unerkannt bleibt.

Nach wie vor gilt, dass ein informierter Anwender der beste Schutz für die Daten des PCs ist. Ein Benutzer, der nicht gleich auf jedes Attachment einer E-Mail klickt, um zu sehen, was sich hinter "Steuertipp.txt[.vbs]" verbirgt, sondern diese (vermutlich unaufgefordert zugeschickte) Nachricht mit einer gesunden Portion Misstrauen behandelt, ist erheblich wirksamer als viele andere Schutzmethoden. Daher muss gerade die Information der Anwender, beispielsweise über aktive Viren und Würmer oder neue Tarnmethoden, ein integraler Bestandteil einer wirksamen Anti-Viren-Strategie sein.

Ralph Dombach ist Sicherheitsberater in München.

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 4/2001, Seite 48