BSI-Forum

E-Mail aus Troja

Von Frank W. Felzmann, BSI

Per E-Mail-Anlage werden Anwender bereits seit einiger Zeit mit Computer-Viren, Würmern und Trojanischen Pferden "beglückt", getarnt als Text- oder Bild-Dateien mit gefälschter Datei-Erweiterung. Der neueste Trick ist nun, Anwender mit vermeintlichen Viren-Schutzprogrammen zu versorgen, die sich dann nach unbedachter Aktivierung als Schadprogramme entpuppen.

Die massenhafte Verbreitung von Schadprogrammen (Melissa, LoveLetter, Kournikova etc.) wurde in den vergangenen Jahren von Benutzern ausgelöst, die ein per E-Mail versandtes Attachment durch "Doppelklick" aktivierten und damit die flächendeckende Verbreitung über das Outlook-Mailsystem weltweit ermöglichten.

Mittlerweile sind die Anwender doch etwas vorsichtiger geworden, insbesondere wenn es sich um E-Mails handelt, die recht eindeutig mit dem Thema Sex zu tun haben. Dies ist sicher auch darauf zurückzuführen, dass durch die Aktivierung eines solchen Schadprogramms der Absender seine (geheimen) Interessen gegenüber Dritten recht klar zu erkennen gibt (siehe hierzu auch "Sex sells" in KES 1999/6, S. 71).

Der neueste Trick besteht nun darin, gefährliche E-Mails als Sicherheits-Patch oder Angebot eines Viren-Schutzprogramms zu tarnen. Leider fallen darauf sehr viele Anwender herein, obwohl eigentlich bekannt sein müsste, dass Hersteller von solchen Programmen diese nie per E-Mail versenden, sondern nur auf entsprechende sichere Seiten im Internet verweisen, von denen die Programme dann per Download auf den Rechner gebracht werden können.

FIX_NIMDA.exe

Der Wurm Nimda (eine "Weiterentwicklung" des Wurms CodeRed) hatte mit seinen Varianten eine gewisse Verbreitung erreicht. Da die Entfernung ohne aktualisiertes Viren-Schutzprogramm nicht eben trivial war, hat eine Reihe von Herstellern spezielle Programme zur Erkennung und Beseitigung von Nimda angeboten. Anfang Oktober 2001 verbreitete sich eine E-Mail mit dem Betreff "Possible Nimda Worm Infection" und dem gefälschten Absender aris-report@securityfocus.com. Als Anlage war die Datei FIX_NIMDA.exe als angebliches Bekämpfungsprogramm beigefügt.

Der Name war nicht schlecht gewählt, da das ursprüngliche Tool den Namen FIX_NIMDA.com trägt, sich Original und Fälschung also nur durch die Datei-Erweiterung unterscheiden. Wird die Datei FIX_NIMDA.exe ausgeführt, erscheinen ähnliche Meldungen wie beim Original, aber der Rechner wird nicht überprüft, sondern das Trojanische Pferd BioNet installiert. Dieses ermöglicht einen Remote-Zugang und übermittelt unter anderem Passwörter unter den Betriebssystemen Windows 9x, NT und 2000. BioNet gehört wie NetBus, SubSeven und BackOrifice zu den so genannten "Fernwartungs-Tools", da bei erfolgreichem Einsatz bei einem ahnungslosen Anwender der Rechner mit diesen Tools vollständig kontrolliert werden kann.

ants3set.exe

Am Abend des 24. Oktober 2001 gingen mehrere E-Mails mit dem Betreff "ANTS Version 3.0" (vgl. Abbildung) beim BSI ein. Absender war angeblich Andreas Haak, Autor von ANTS 2.0 (A New Trojan Scanner), einem Freeware-Tool. Anscheinend hatte er sich mit seinem Abwehr- und Erkennungs-Programm bei einem Autor solcher Schadprogramme so unbeliebt gemacht, dass der sich veranlasst sah, seinerseits unter gefälschtem Absender ein Trojanisches Pferd unter die Leute zu bringen. Offenbar mit recht großem Erfolg, wie man aus zahlreichen Meldungen über dieses Schadprogramm entnehmen konnte. Der Name ANTS 3.0 war geschickt gewählt, denn ANTS mit dieser Versions-Nummer sollte nächstes Jahr als professionelles Produkt auf den Markt kommen.

[Screenshot]
Im Oktober 2001 wurde unter falschem Absender eine vermeintlich neue Version des ANTS-Anti-Trojaner-Scanners verschickt. Tatsächlich handelte es sich um ein Trojanisches Pferd.

Glaubt ein ahnungsloser Anwender dem Text der Nachricht und führt die beigefügte Datei ANTS3SET.EXE aus, wird der Rechner infiziert und eine E-Mail-Lawine losgetreten: immer mit gleichem Absender, Betreff und Anlage. Empfänger werden zunächst aus den Outlook-Adressbüchern ermittelt. Dann wird das Laufwerk C: nach Dateien mit den Erweiterungen .PHP*, .HTM*, .SHTM*, .CGI* und .PL* durchsucht und aus diesen Dateien eventuell vorhandene E-Mail-Adressen extrahiert und zusätzlich verwendet. Gerade HTML-Dateien, die im Explorer-Cache auf der Festplatte zwischengespeichert sind, enthalten häufig E-Mail-Adressen für die Kontaktaufnahme. Dieser Trick der Adressermittlung ist zuerst von dem Sircam-Wurm verwendet worden: Empfänger bekommen plötzlich Post von jemandem, mit dem sie noch nicht per E-Mail verkehrt haben. Die erste Adresse wird im "To:"-Feld eingetragen, alle weiteren im "Bcc:"-Feld ("blinde Kopie"), sodass letztere nicht beim Empfänger erscheinen.

Der neue Wurm, der den Namen W32.Anset.Worm erhielt, läuft unter allen Windows-Systemen, benötigt keinen Mail-Client und ist nur 179 712 Bytes groß. Zusätzlich zu den SMTP-Servern des infizierten Rechners werden noch acht anonyme Server verwendet. Zum großen Glück für alle Betroffenen hatte Anset keine explizite Schadensfunktion programmiert. Lediglich der E-Mail-Verkehr wurde durch die massenhafte Versendung mehr oder weniger beeinträchtigt.

----------Anfang Textkasten----------

[Kasten überspringen]

Griechen

[FORGOTTEN]Der Name Trojanisches Pferd ist auf den griechischen Dichter Homer zurückzuführen: Nachdem die Griechen nach dem Raub Helenas die Stadt Troja zehn Jahre lang vergeblich belagert hatten, wurde auf den Ratschlag von Odysseus ein großes hölzernes Pferd gebaut, in dessen Bauch sich Soldaten versteckten. Nach dem scheinbaren Abzug der griechischen Belagerungsarmee zogen die Trojaner das Pferd als vermeintliche Opfergabe in das Stadtinnere. Nachts kletterten dann die Soldaten heraus und der Rest ist bekannt.

Trojanische Pferde haben aber auch Einzug in die Informationstechnik gehalten: als Programme, die neben scheinbar nützlichen auch nicht dokumentierte, schädliche Funktionen enthalten und diese unabhängig vom Computer-Anwender und ohne dessen Wissen ausführen. Im Gegensatz zu Computer-Viren können sich Trojanische Pferde jedoch nicht selbstständig verbreiten.

Offensichtlich war jedoch vielen Leuten die Bezeichnung Trojanisches Pferd zu lang und es erfolgt daher häufig eine Verkürzung zu Trojaner. Dies ist streng genommen falsch, da Trojaner die Einwohner Trojas sind und das Trojanische Pferd gegen sie von den Griechen eingesetzt worden ist. Streng genommen ist somit natürlich auch die Überschrift dieses Artikels (E-Mail aus Troja) nicht ganz korrekt.

----------Ende Textkasten----------

Fazit

Anstelle der üblichen Ermahnungen und Ratschläge, wie man sich beim Eingang von E-Mails verhalten soll, hier ein Zitat von Eric Chien, Leiter des Symantec Antivirus Research Centers (SARC): "Eine E-Mail mit einem Attachment sollten Sie behandeln wie jemanden, der nachts um drei an Ihrer Tür klingelt." Seien Sie misstrauisch.

Literatur

[1]
Hinweise zum Schutz vor Computer-Viren, [externer Link] www.bsi.bund.de/av/
[2]
Empfehlungen zum Schutz vor Computer-Viren aus dem Internet, [externer Link] www.bsi.bund.de/taskforce/viren.htm
[3]
Homepage von ANTS (A New Trojan Scanner), [externer Link] www.ants-online.de
[4]
Kleines Lexikon der (griechischen) Mythologie, [externer Link] www.deslit.de/mythologie/

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 6/2001, Seite 33

Zurück zum Inhalt       Valid HTML 4.0! Valid CSS!