Malware

Seminar Internettechnologie

Andreas Dinkel

Page 2

Gliederung

Was ist Malware?

Verschiedene Typen der Malware: Computerviren

Würmer

Trojanische Pferde

Spyware

Rootkits

I-Worm.LoveLetter Analyse des Quellcodes

Pseudocode

Schutzmaßnahmen

Praxis-Teil

Page 3

Was ist Malware?

Der Begriff Malware ist eine Abkürzung von "malicious software", d. h. böswillige Software.

Computerprogramme, die entwickelt wurden, um vom Benutzer unerwünschte und ggf. schädliche Funktionen auszuführen. Dieser Begriff bezeichnet keine fehlerhafte Software, auch wenn diese Schaden anrichten kann.

Malware wird von Fachleuten der Computersicherheitsbranche als Über-/Sammelbegriff verwendet, um die große Bandbreite an feindseliger, intrusiver und/oder unerwünschter Software oder Programmen zu beschreiben.

Page 4

Was ist Malware?

Juli – September 2009

PandaLabs

Page 5

Computerviren

Ein Virus ist ein Programm, das sich repliziert, indem es andere Programme infiziert, sodass diese eine Kopie des Virus enthalten.

Ein Virus ist ein Programm, dessen Hauptaufgabe die Reproduktion (Verbreitung) durch Infizierung ist! Ein Virus muss also nicht zwingend destruktiv sein.

Page 6

Würmer

primäres Ziel Reproduktion, wie bei Viren

andere Verbreitungsweise als bei Viren

Verbreitung finden über E-Mail Systeme,Schwachstellen von Betriebssystemen/Diensten statt

sind nicht auf ein Wirtsprogramm angewiesen

Page 7

Trojanische Pferde

Das primäre Ziel von Trojanern ist die versteckte Ausführung von bestimmten Funktionen im Auftrag eines Angreifers

haben immer eine versteckte Schadensroutine

Die Reproduktion spielt wenig bis kaum eine Rolle

tarnen sich für Benutzer als nützliche Programme/Funktionen

schwer erkennbar,weil keine massenweise Verbreitung

arbeiten sehr oft als Client-/Server Applikation, d.h. sie sind von einem entfernten Angreifer fern steuerbar (Backdoors, Rootkits)

Page 8

Trojanische Pferde

Funktionen:

– Ausspähen und Übermittlung von Benutzerdaten (Online-Dienste, Passwörter, Kreditkartennummern, Bankzugänge usw.)

– Aufzeichnung und Übermittlung von Tastaturanschlägen (Keylogger)

– Durchsuchen des Rechners und Übermittlung von Passwortdateien und Dokumenten

Page 9

Spyware

Erweiterung von Adware ( werbefinanzierten Software)

Funktion der Werbezusätze ist nicht immer nachvollziehbar

sammelt teilweise recht umfangreiche Daten des Benutzer

– Surfverhalten, Kreditkartennummern, Adressdaten usw.

Page 10

Rootkits

ist eine Sammlung von Softwarewerkzeugen

verhindern, das der Einbruch ins System bemerkt wird

Dem Angreifer ermöglichen, das System dauerhaft zu kontrollieren

Dem Angreifer ermöglicht weitere Systeme anzugreifen

keine Reproduktion und eigene Schadfunktion

Page 11

Rootkits

Fähigkeiten:

– Das Verbergen von Dateien, Prozessen, offene Ports, usw. vor den Benutzern des Systems

– Verändern der System-Logs, zum Beispiel um Anmeldungsvorgänge zu verstecken

– Verändern von Systemstatistiken um normalen Betrieb vorzutäuschen

– Eventuell aktive Abwehr von Sicherheitssoftware

Page 12

I-Worm.LoveLetter

4 Mai Jahr 2000

„Rund um die Welt“ in 1-2 Tagen

Schäden in Milliardenhöhe

ist ein Visual Basic Scriptvirus

Ausbreitung findet über Windows-Emailproramme statt (Outlook)

Mailprogramme die aktive Inhalte ausführen können oder dürfen

Quellcode ohne Probleme lesbar

in Oktober schon 92 Varianten

Page 13

I-Worm.LoveLetter

Quelle: Analyse einiger typischen Computerviren, Nikolaus Rameis

Page 14

Analyse des Quellcodessub main ()

Programmierer hat sich selbst verewigt

wenn Laufzeitfehler auftritt den Script weiter fortsetzten und nicht abbrechen

objektorientiert auf das ganze Funktionsspektrum vom Windows Scripting Host zugreifen

Page 15

Analyse des Quellcodessub main()

hier werden spezielle Verzeichnisse C:\WINDOWS, C:\WINDOWS\SYSTEM, C:\WINDOWS\TEMP in Erfahrung gebracht

Mit GetFile erfährt der Worm seinen eigenen Dateinamen, um ...

sich selbst ins Windows- und Windows-System- Verzeichnis zu kopieren

diese Dateien werden mit jedem Windows-Start ausgeführt

Page 16

Analyse des Quellcodessub regruns()

zwei „Autostart“ Möglichkeiten in Windows-Registry

aus der Registry wird der IE Standard-Download-Verzeichnis ausgelesen

kein Verzeichnis definiert wird eine angelegt

Page 17

Analyse des Quellcodessub regruns()

hier wird überprüft, ob der WIN-BUGFIX.exe – Trojaner

heruntergeladen und installiert worden ist

Page 18

Analyse des Quellcodessub regruns()

hier wird der Trojaner in die Registry eingetragen und die Startseiten von IE auf „blank“ gesetzt

Page 19

Analyse des Quellcodessub listadriv()

fso.Drives gibt die Anzahl der Laufwerke in dc zurück

für jedes gefundenes Laufwerk(lokale und Netzlaufwerke) wird mit subroutine forderlist() eine Verzeichnisliste angelegt

Page 20

Analyse des Quellcodessub infectfiles(folderspec)

fc gibt die Anzahl der Dateien in angegebenen Verzeichnis an

wenn die Dateierweiterung passt, wird die infiziert (überschrieben)

Infektion von Visual Basic Script-Dateien

Page 21

Analyse des Quellcodessub infectfiles(folderspec)

die angegebene Datei wird mit eigenen Code überschrieben

Infektion von JavaScripts, CascadingStyleSheets, Windows Scripting Host, oder anderen HTML-Dateien

kopiere den Namen der Datei (tolles_bild.jpg)

erstelle eine neue mit dem eigenen Code (tolles_bild.jpg.vbs)

lösche das Original

Page 22

Analyse des Quellcodessub infectfiles(folderspec)

alle Wirtsdateien werden zerstört, außer mp3 und mp2 von denen erstellt der Wurm eine Kopie

hier wird die mIRC Script-Datei geöffnet und verändert

Page 23

Analyse des Quellcodessub infectfiles(folderspec)

hier wird per mIRC eine infizierte HTM Datei verschickt

Page 24

Analyse des Quellcodessub infectfiles(folderspec)

Quelle: Analyse einiger typischen Computerviren, Nikolaus Rameis

Page 25

Analyse des Quellcodessub spreadtomail()

CreateObject(„Outlook.Application“) ist für die „Kommunikation“ mit dem Email-Programm zuständig. Funktioniert nur mit Outlook 97 und 2000 und nicht mit dem Express-Versionen

mapi.AdressLists.Count gibt die Anzahl der Kontakte im Outlook zurück

Page 26

Analyse des Quellcodessub spreadtomail()

wenn der Registry-Eintrag leer ist, der „Brief“ wurde noch nicht verschickt

hier wird der „Brief“ verfasst

Page 27

Analyse des Quellcodessub spreadtomail()

hier wird vermerkt das der Brief verschickt wurde

Page 28

Pseudocode

Page 29

Schutzmaßnahmen

Anti-Virus Programm, Firewall

Updates von Betriebssystemen, Anti-Virus Programmen, Webbrowser usw.

Vorsicht bei öffnen der Mails

Programme von Herstellerseiten benutzen

Nicht vertrauenswürdige Seiten meiden

Page 30

Quelle

Quarterly Report PandaLabs July-Semptember 2009

Analyse einiger typischen Computerviren, Nikolaus Rameis

Rootkits, Johannes plötner

http://www.pc-special.net/sicherheit-f192/malware-viren-wurmer-und-kein-ende-t28659.html

http://tugll.tugraz.at/07security/weblog/5435.html

http://www.security-dome.eu/Klassische_Malware_-_Begriffserklaerung_Teil_1.html

Vielen Dank für Ihre Aufmerksamkeit!

Fragen?

Page 32

Praxis-Teil

DNS/ARP-Spoofing,MITM-Attacke

ms09-002 exploit (IE7)

– RemotecodeausführungTools

– ettercap & Metasploit Framework 3