Würmer, Phishing, Dialer, Spam & Co. Was Versteckt Sich Hinter Den

70 Aktuelle Beiträge

Registry- und TaskManager-Tools und line-Banking-Anwendungen sammelt. W32.Sober.J@mm löscht alle Dateien mit der Endung .com Um unentdeckt zu bleiben, werden be- W32.Sober.J@mm (Sober.J) ist ein In- und .mp3. Bei der Ausführung von kannte IT-Sicherheitsprogramme behin- ternetwurm, der sich per Massenmailing W32.Nopir.A wird der Computer infiziert: dert bzw. abgeschaltet. mit seiner eigenen SMTP-Maschine verbreitet. Er versendet sich selbst als An- W32.Sober.N@mm/W32.Sober.N@mm!dr W32.Sober.L@mm hang einer E-Mail. Auch die Absende- W32.Sober.N@mm (Sober) ist ein In- W32.Sober.L@mm (Sober.L) ist ein In- radresse ist mit den gefundenen Adres- ternetwurm, der sich per Massenmai- ternetwurm, der sich per Massenmai- sen gefälscht. ling mit seiner eigenen SMTP-Maschi- ling mit seiner eigenen SMTP-Maschi- ne verbreitet. Bei der Versendung von ne verbreitet. Er beendet Prozesse von W32.Beagle.AZ@mm E-Mails verwendet der Wurm E-Mail- Sicherheitsprogrammen. Bei der Aus- Diese Variante des Wurms Beagle (alias Adressen, die er auf dem befallenen Sys- führung der angehängten Datei einer Bagle) ist ein Internetwurm, der sich per tem findet. Er beendet Prozesse von Si- infizierten E-Mail wird der Computer Massenmailing mit seiner eigenen SMTP- cherheitsprogrammen. Der Text dieser infiziert. Maschine verbreitet. Er verbreitet sich E-Mail ist in deutscher oder in engli- auch über Netzwerkfreigaben von scher Sprache verfasst. W32.Mydoom.AX@mm Tauschbörsen. W32.Mydoom.AX@mm (W32.My- PWSteal.Bankash.E doom.AX) ist ein Internetwurm, der sich PWSteal .Bankash.E ist ein Trojanisches per Massenmailing mit seiner eigenen Quelle: Bundesamt für Sicherheit in der Pferd, welches Benutzerdaten von On- SMTP-Maschine verbreitet. Informationstechnik.

Würmer, Phishing, Dialer, Spam & Co. Was versteckt sich hinter den Begriffen

Malware Ein Trojanisches Pferd ist eine Kombi- grundsätzlich nicht dazu zählen. Illega- nation eines (manchmal nur scheinbar) le Dialer-Programme allerdings führen Als Malware (v. engl. malicious „boshaft“ nützlichen Wirtsprogrammes mit einem die Einwahl heimlich – unbemerkt vom u. Software) bezeichnet man Computer- versteckt arbeitenden, bösartigen Teil, oft Benutzer – durch und fügen dem Opfer programme, die oft eine offene oder ver- Spyware oder eine Backdoor. Ein Troja- (oft erheblichen) finanziellen Schaden zu deckte Schadfunktion aufweisen und üb- nisches Pferd verbreitet sich nicht selbst, (Telefonrechnung). licherweise mit dem Ziel entwickelt wer- sondern wirbt mit der Nützlichkeit des den, Schaden anzurichten. Schadfunk- Wirtsprogrammes für seine Installation tionen können zum Beispiel die Manipu- durch den Benutzer. Computerwurm lation oder das Löschen von Dateien oder Eine Backdoor ist ein üblicherweise durch Ein Computerwurm ist ein selbstständi- die Kompromittierung der Sicherheitsein- Viren, Würmer oder Trojanische Pferde ges Computerprogramm (Gegensatz: richtungen (wie z.B. Firewalls und Anti- installiertes Programm, das Dritten einen Computervirus), das sich über Compu- virenprogramme) eines Computers sein. unbefugten Zugang („Hintertür“) zum ternetzwerke durch Ausnützen von Si- Malware bezeichnet keine fehlerhafte Computer verschafft, jedoch versteckt cherheitslücken verbreitet, wie zum Bei- Software, auch wenn diese Schaden an- und unter Umgehung der üblichen Si- spiel durch Versenden von infizierten E- richten kann. cherheitseinrichtungen. Backdoors wer- Mails (selbstständig durch eine SMTP- den oft für Denial of Service-Angriffe Engine oder durch ein E-Mail-Programm), Es existieren folgende Typen von Mal- benutzt. durch IRC-, Peer-To-Peer- und Instant- ware: Als Spyware bezeichnet man Program- Messaging-Programme oder über Datei- Computerviren sind die älteste Art der me, die Informationen über die Tätig- freigaben. Die erst seit kurzem auftre- Malware, sie verbreiten sich, indem sie keiten des Benutzers sammeln und an tenden Handywürmer verbreiten sich über Kopien von sich selbst in Programme, Do- Dritte weiterleiten. Ihre Verbreitung er- Bluetooth und infizierte MMS. kumente oder Datenträger schreiben. folgt meist durch Trojaner. Ein Wurmprogramm muss nicht unbe- Ein Computerwurm ähnelt einem Com- dingt eine spezielle Schadensroutine ent- putervirus, verbreitet sich aber direkt über Oft werden auch Dialer (Einwahlpro- halten. Da das Wurmprogramm aber so- Netzwerke wie das Internet und versucht, gramme auf Telefon-Mehrwertrufnum- wohl auf den infizierten Systemen als in andere Computer einzudringen. mern) zur Malware gezählt, obwohl sie auch auf den Systemen, die es zu infi-

Der Computer-Führer für Ärzte, Ausgabe 2006 71

zieren versucht, Ressourcen zur Weiter- verbreitung bindet, kann es allein dadurch gewaltige wirtschaftliche Schäden anrichten. Des weiteren können Würmer die Belastung anderer Systeme im Netz- werk wie etwa Mailserver, Router und Hab ich Dich endlich Du Wurm Firewalls erhöhen.

Unterschied zwischen Virus und Wurm

Computer-Viren und -Würmer verbreiten sich beide auf Computern, doch ba- sieren sie zum Teil auf vollkommen ver- schiedenen Konzepten und Techniken. Ein Virus verbreitet sich, indem er Da- teien infiziert, also sich in eine ausführ- bare Datei, in einigen Fällen auch in einen Bootsektor oder als Makro in eine interpretierte Datei, die vertrauenswür- dig erscheint, integriert und somit Teil einer schon bestehenden Programmrou- tine wird. Die Verbreitung des Virus erfolgt durch Weitergabe dieser infizierten Dateien. Auf welchem Wege sie weiter- gegeben werden (Datenträger, Netzwerk, Trojanische Pferde sind schadhafte Pro- läufig ist, dass das Icon einer Datei nicht Internet, ...), ist für die Definition „Virus“ gramme (Malware), die auf fremde Com- zwingend die Art der Datei angibt, son- unerheblich. puter eingeschleust werden, um unent- dern nur der letzte Teil der Dateinamen- Würmer dagegen warten nicht passiv da- deckt Aktionen auszuführen. Häufig sind sendung maßgebend ist (Bild.jpg ist ein rauf, dass sie mit infizierten Dateien wei- diese Trojanischen Pferde als nützliche Bild, Bild.jpg.exe ist ein Programm), wer- tergegeben werden. Sie versuchen auf Programme getarnt – benutzen beiden Trojanische Pferde häufig unbemerkt unterschiedliche Art aktiv via Netzwerk spielsweise den Dateinamen einer nütz- ausgeführt. weitere Computer zu infizieren. Aber auch lichen Datei – oder sind mit einem tat- Durch Ausführen einer solchen Datei wird ein Wurm kann – wie ein Virus – in ver- sächlich nützlichen Programm verbun- der Computer mit dem schädlichen Dienst trauenswürdigen Dateien getarnt inte- den. Der tatsächliche Nutzen der Datei, des Trojanischen Pferdes „infiziert“. Das griert sein. die ein Trojanisches Pferd enthält, kann Trojanische Pferd kann von diesem Zeit- beliebiger Art sein. punkt an beliebige Aktionen auf dem in- Trojanisches Pferd Da Trojanische Pferde auszuführende Pro- fizierten Computer durchführen. gramme sind (Executables), müssen sie In der Regel enthalten Trojanische Pfer- Als Trojanisches Pferd bezeichnet man bei Microsoft Windows eine dement- de häufig Spionagefunktionen (z.B. in der Computersprache schadhafte Pro- sprechende Dateiendung, beispielsweise Sniffer oder Routinen, die Tastaturein- gramme, die als nützliche Programme .exe, .com, .scr, .bat, oder .pif haben. Da gaben aufzeichnen) und Funktionen, getarnt sind oder zusammenhängend mit Windows dem Benutzer jedoch nach die es ermöglichen einen Computer, un- einem nützlichen Programm verbreitet standardmäßiger Konfiguration keine Da- kontrolliert vom Anwender, über ein werden, aber tatsächlich auf dem Com- teinamenerweiterungen anzeigt, kann ein Netzwerk oder das Internet fernzusteu- puter im Verborgenen unerwünschte Ak- Trojanisches Pferd als Datei beliebiger ern (Backdoors). tionen ausführen können. Art maskiert sein. Viele ausführbare Da- Ursprünglich waren Trojanische Pferde Umgangssprachlich werden Trojanische teiformate erlauben zusätzlich das zu- nicht dafür vorgesehen, sich selbst zu Pferde – in Anlehnung an die griechische ordnen von Icons zu einer Datei, sodass verbreiten, sondern wurden gezielt ge- Mythologie – auch Trojaner (engl. Tro- eine schadhafte Datei „Bild.jpg.exe“ dem gen einzelne „Opfer“ eingesetzt (z.B. in jan) genannt. Falsch ist dieses deshalb, Benutzer namentlich nicht nur als „Bild. der Wirtschaftsspionage). Mittlerweile je- weil die Trojaner eigentlich die Opfer des jpg“ angezeigt würde, sondern auch noch doch sind zahlreiche Mischformen der Trojanischen Pferdes der Mythologie ge- das Icon eines Bildes haben könnte, und Malware bekannt, die sich wie Compu- worden sind und nicht dessen Urheber somit bei der o.g. Windows-Konfigura- terwürmer selbst verbreiten können, aber waren. Allerdings ist der Ausdruck „Tro- tion auf den ersten Blick nicht von einer auch die Züge von Trojanischen Pferden janer“ mittlerweile derart verbreitet, dass ungefährlichen Bilddatei zu unterschei- aufweisen. Diese Entwicklung macht ei- er weitgehend akzeptiert ist. den wäre. Da vielen Benutzern nicht ge- ne klare Unterscheidung schwer.

Der Computer-Führer für Ärzte, Ausgabe 2006 72 Aktuelle Beiträge

Spyware unter Umgehung der normalen Zugriffs- gebühren von der GEZ zurückerstatten sicherung Zugang zum Computer (oder zu lassen, sowie die Bonsai-Katzen. Als Spyware wird üblicherweise Soft- einem Computerprogramm) zu erlangen. Auch Kettenbriefe, die per E-Mail wei- ware bezeichnet, die persönliche Daten Eine Variante sind in einem System fest tergeleitet werden, können zu den Hoa- des Benutzers ohne dessen Wissen oder vorgegebene, nur dem Ersteller des Sys- xes gezählt werden, denn hier existiert gar Zustimmung an den Hersteller der tems bekannte Passwörter oder andere ver- selten ein realer Hintergrund, der die Ver- Software (das so genannte Call Home) steckte Funktionen, die ein Login ohne die breitung rechtfertigen würde. oder an Dritte sendet. Oft wird Spywa- sonst übliche Authentifizierung ermögli- Im erweiterten Sinn kann ein Hoax auch re verwendet, um Produkte scheinbar chen. Bekanntestes Beispiel hierfür ist wohl als Computervirus betrachtet werden, der kostenlos anzubieten. das von Award Software über mehrere Jah- sich durch Social Engineering fortpflanzt. Meist dienen die Spyware-Programme re vergebene BIOS-Universalpasswort Insbesondere gab es auch schon Hoaxes dazu, das Surf-Verhalten im Internet zu „lkwpeter“. Publikumswirksam demons- mit Schadroutinen, die den Benutzer auf- analysieren, um diese Daten kommer- triert wurde der Einsatz einer Hintertür forderten bestimmte Dateien zu löschen, ziell zu nutzen oder um gezielt Werbe- auch im Kinofilm Jurassic Park. da es sich um Viren handle, Beispiel banner oder Popups einzublenden, die Als ein Vorteil quelloffener Software wird SULFNBK.EXE und JDBMGR.exe (der an die Interessen des Benutzers ange- deshalb von der Open-Source-Bewegung Teddybärenvirus). Da es sich jedoch um passt sind. Die Firmen erhoffen sich da- oft angeführt, dass der Quelltext eines eine notwendige Systemdatei unter Win- raus eine Steigerung der Wirksamkeit potenziell schädlichen Programms nach dows handelt, schädigt der Benutzer sein dieser Werbemethoden. derartigen Hintertüren leicht von jedem eigenes System. Um Ärger mit Juristen zu umgehen, selbst durchsucht werden könnte. Im Ge- Während ein Hoax meist nur erschrecken kennzeichnen viele Computerprogram- gensatz dazu seien proprietäre Anwen- möchte, eignet sich so genanntes Phis- me mit Anti-Spyware-Funktionen diese dungen nicht für jedermann einsehbar. hing zum Betrug. Softwarekomponenten als „möglicher- In jüngerer Zeit findet der Begriff Back- weise unerwünschte Software“ (PUS, po- door auch Anwendung als Bezeichnung Phishing tentially unwanted software). für z.B. durch Trojaner nachträglich in- Spyware wird im Gegensatz zu den Vi- stallierte Programmpakete, die Benut- Phishing ist eine Form des Trickbetru- ren auch von Unternehmen programmiert, zern über das Internet Zugriff auf Com- ges. Der Phisher schickt seinem Opfer of- die ganze Entwicklungsabteilungen mit putersysteme gewähren. fiziell wirkende Schreiben, meist E-Mails, der Programmierung von Spyware be- Hierzu zählen z.B. die bei sog. „Skriptkid- die es verleiten sollen, wichtige Infor- auftragen. Diese Spyware hat damit auch dies“ beliebten Programme „Sub Seven“ mationen, vor allem Passwörter, in gu- ein sehr hohes technisches Niveau. Bei- und „Back Orifice“. tem Glauben an den Täter preiszugeben. spielsweise schützt sich Spyware gegen Die Bezeichnung Phishing leitet sich vom Löschung dadurch, dass mehrere Prozes- Hoax Fischen (engl. fishing) nach persönlichen se gleichzeitig laufen, die bei Beendigung Daten ab. Die Ersetzung von F durch Ph gleich wieder einen neuen aufmachen und Ein Hoax (englisch für Jux, Scherz, Scha- ergibt sich dabei aus der Kombination sich selbst kopieren. Auf der Festplatte bernack; auch Schwindel) bezeichnet im der englischen Worte Password, Harves- entziehen sie beispielsweise dem Admi- Deutschen eine Falschmeldung, die sich ting und Fishing (deutsch: Passwort, ern- nistrator die Schreib- und damit die per E-Mail oder Instant Messenger ver- ten und angeln). Löschberechtigung usw. breitet, von vielen für wahr gehalten und Phishing-Angriffsziele sind Zugangsda- Ein weiteres Problem entsteht dadurch, daher an viele Freunde weitergeleitet ten, z.B. für Banken (Onlinebanking), dass Spyware zusätzliche Sicherheitslö- wird. Das Wort kommt wahrscheinlich Versandhäuser, Internet-Auktionshäu- cher in einem System erzeugen kann, ge- aus der Verkürzung von „Hokus“ aus ser, webbasierende Onlineberatungen gen die es dann auch keine Software-Up- „Hokuspokus“. Ein Hoax kann auch als oder Kontaktportale. Mit den gestohle- dates gibt. moderne Form der Zeitungsente oder als nen Zugangsdaten kann der Phisher viel Durch diese Verfahren wird es selbst ei- Urban Legend betrachtet werden. Schaden verursachen, wie etwa Vermö- nem technisch versierten User extrem Ältestes Beispiel ist der so genannte Good- gensschaden, Rufschaden durch z.B. schwer gemacht, sich dieser Spyware zu Time-Virus, eine angebliche E-Mail, die eBay-Versteigerung gestohlener Waren entledigen. Seit längerem haben sich An- beim Öffnen die Festplatte löscht. Die unter falschem Namen, Missbrauch per- tivirensoftware-Hersteller des Problems Warnung vor diesem „Virus“ verbreitete sönlicher Daten, Aufwand zur Klärung angenommen und auch Lösungen gegen sich 1994 millionenfach über E-Mail und und Wiedergutmachung. Im Allgemei- Spyware entwickelt. wurde auch von vielen Zeitungen und nen beginnt eine Phishing-Attacke mit Fachinstitutionen veröffentlicht. Die da- einer persönlich gehaltenen, offiziell an- Backdoor mals vermeintliche Gefahr durch Viren, mutenden E-Mail oder einem Massen- die sich per E-Mail verbreiten, wurde al- versand von E-Mails. Der Empfänger soll Als Hintertür (engl. backdoor, auch Trap- lerdings erst Jahre später Wirklichkeit, eine Website besuchen, die unter einem door: Falltür) bezeichnet man einen vom beispielsweise durch Loveletter. Vorwand zur Eingabe seiner Zugangs- Autor eingebauten Teil eines Computer- Bekannte Beispiele sind auch die angeb- daten auffordert. Folgt er dieser Auffor- programmes, der es Benutzern ermöglicht, liche Möglichkeit, Teile der Rundfunk- derung, gelangen seine Zugangsdaten in

Der Computer-Führer für Ärzte, Ausgabe 2006 73

Auch die Kommunikation per Handy ist von Spam betroffen, einerseits durch ver- stärkten Einsatz von Mobile Marketing zur Marktforschung, andererseits durch unerwünschte SMS, die in Japan schon bis zu 90% aller unerwünschten elek- tronischen Nachrichten ausmachen.

Dialer

Dialer (deutsch: Einwahlprogramme) sind im engeren Sinne Computerprogramme, mit deren Hilfe über das analoge Tele- fon- oder das ISDN-Netz eine Verbin- dung zum Internet oder anderen Com- puternetzwerken aufgebaut werden kann. So ist bei vielen Betriebssystemen bereits ein Standard-Einwahlprogramm für Ver- die Hände der Urheber der Phishing-At- gänzt. Im Sketch wird das Wort Spam bindungen nach dem Point-to-Point Pro- tacke. Was dann folgt, soll nur noch insgesamt knapp 100 mal erwähnt. tocol (PPP) mitgeliefert. Bei Windows nachträgliches Misstrauen des Opfers zer- nennt sich dieser „DFÜ-Netzwerk“. Das streuen. Eine kurze Bestätigung oder ei- Arten von Spam Einwahlprogramm muss gestartet wer- ne falsche Fehlermeldung. den, wenn man eine Internet-Verbindung Eine andere Variante bindet ein Formu- Das Phänomen Spam hat seinen Ursprung aufbauen möchte, und so lange laufen, lar direkt innerhalb einer HTML-E-Mail im Usenet, dort bezeichnet man damit bis man die Verbindung nicht mehr be- ein, welches zur Eingabe der vertrauli- wiederholte Artikel in den Newsgroups, nötigt und diese schließt. chen Daten auffordert und diese an die die substanziell gleich sind oder für die- Viele Provider bieten Installations-CDs Urheber sendet. Auf eine Phishing-Web- selbe Dienstleistung werben. an, die es unerfahrenen Kunden verein- site wird hierbei verzichtet „Unsolicited Bulk Email“ (zu deutsch „Un- fachen sollen, einen passenden Internet- verlangte Massen-E-Mail“, kurz UBE) sind zugang einzurichten. Dies geschieht ent- Spam E-Mails, die unangefordert an eine gro- weder dadurch, dass ein Eintrag im DFÜ- ße Anzahl von Empfängern verschickt Netzwerk des Windows-Betriebssystems Spam ist der unverlangte, massenhafte werden. „Unsolicited commercial E-Mail“, erstellt wird, oder aber dadurch, dass ein Versand von Nachrichten. Diesen Miss- kurz UCE ist eine häufige Unterart davon, firmenspezifisches Einwahlprogramm brauch bezeichnet man als Spamming die unverlangte Zusendung von Werbung. (zum Beispiel die AOL-Software) instal- und die Täter als Spammer. Die Be- Daneben gibt es noch das so genannte liert wird. Oft wird dabei im weiteren Sin- zeichnung „Spam“ bezog sich ursprüng- Suchmaschinen- oder Index-Spamming, ne nicht nur das Einwahlprogramm selbst, lich auf das Überfluten von Newsgroups bei dem der Verursacher die Ergebnisse, sondern auch dessen Installationspro- im Usenet mit Werbebotschaften und die eine Internet-Suchmaschine auf ei- gramm als „Dialer“ bezeichnet. wurde später auf E-Mails übertragen. ne Stichworteingabe hin ausgibt, mit spe- Bei einem 0190-Dialer handelt es sich Der Begriff entstammt einem Sketch der ziellen Tricks derart manipuliert, dass auf um einen Dialer, der eine Verbindung zu englischen Comedyserie Monty Python's den vordersten Plätzen Webseiten ange- einer Rufnummer mit 0190-Vorwahl her- Flying Circus: In einem Café besteht die zeigt werden, die keine für den Surfer re- stellt beziehungsweise einrichtet. Gedacht Speisekarte ausschließlich aus Gerichten levanten Informationen enthalten. Auch waren 0190-Dialer als einfache, anony- mit SPAM, die „SPAM“ teilweise mehr- Logfiles von Webservern sind nicht vor me elektronische Zahlungsmöglichkeit fach hintereinander im Namen enthalten Spam gefeit, diese werden häufig mit ge- für kostenpflichtige Inhalte, die erst dann (SPAM ist ein Markenname für Dosen- fälschten Referrer-Daten gefüttert. Web- verfügbar werden, wenn die Einwahl über fleisch, 1936 entstanden aus spiced ham, foren, Blogs und Wikis sind ebenfalls von die spezielle Rufnummer erfolgt. fälschl. auch spiced pork and meat/ham). Spam betroffen. Ein Gast verlangt nach einem Gericht oh- Mittlerweile gibt es spezialisierte Pro- ne SPAM, die Kellnerin empfiehlt ein Ge- gramme für fast jeden über das Internet Quelle: Artikel in der deutschsprachigen Wi- richt mit "wenig" SPAM; als sich der Gast öffentlich zugänglichen Kommunikati- kipedia (http://de.wikipedia.org/), Listen der aufregt, fällt ein Chor aus Wikingern, die onskanal: „SPIM“ („Spam over Instant beteiligten Autorinnen und Autoren können die beiden anderen Tische besetzen, mit Messaging“) betrifft Programme oder Pro- dort eingesehen werden. Einträge in der Wi- einem Loblied auf SPAM ein, bis der tokolle wie z.B. IRC, ICQ oder den Win- kipedia und damit auch dieser Artikel stehen Sketch im Chaos versinkt. Im anschlie- dows-Nachrichtendienst. „SPIT“ („Spam unter der GNU Lizenz für freie Dokumentati- ßenden Abspann wurden die Namen der over Internet Telephony“) sind uner- on (http://de.wikipedia.org/wiki/Wikipedia: Mitwirkenden ebenfalls um „SPAM“ er- wünschte Anrufe per VoIP. GNU_Free_Documentation_License)

Der Computer-Führer für Ärzte, Ausgabe 2006