Gefahren aus dem Internet - Medizin-EDV

67
Gefahren aus dem Internet
Computerviren, Trojanische Pferde und
allerlei andere unsympatische Eindringlinge stellen eine erhebliche Gefährdung
des eigenen PCs dar. Obwohl ComputerViren prinzipiell bei jedem Computertyp
und Betriebssystem denkbar sind, erlangten sie bei IBM-kompatiblen Personalcomputern (PC), insbesondere bei den weit
verbreiteten Windows-Betriebssystemen,
die größte Bedeutung. Hierbei wurden bis
Ende 2002 weltweit rund 70.000 Viren
(einschließlich Varianten) gezählt.
den. Sie sind nur mehr in neuen Nischen
von Bedeutung. In der Vergangenheit
hatten Computerviren oft Vorreiterrollen, und schnell verbreitende Würmer
kamen erst später.
Das Bundesamt für Sicherheit in der Informationstechnik gibt Tipps, wie Sie sich
schützen können.
Arbeitsweise
Gefährdungsgrad
unterschiedlicher
Betriebssysteme
Die Idee zu Computerviren leitete sich
von dem biologischen Vorbild der Viren ab und gab ihnen ihren Namen. Wie
sein biologisches Vorbild benutzt ein
Computervirus die Ressourcen seines
Wirtes und nimmt dabei keine all zu
große Rücksicht auf dessen Wohlergehen. Auch er vermehrt sich unkontrolliert und exponentiell. Dadurch, und
durch explizit vom Virenautor eingebaute Schadfunktionen, kommt es bei
Infektion eines Computers häufig zur
Veränderung oder Verlust von Daten
und Programmen und zu Störungen des
regulären Betriebs.
Das verwendete Betriebssystem hat großen Einfluss darauf, wie hoch die Wahrscheinlichkeit einer Vireninfektion ist.
Während für Windowssysteme über
60.000 Viren existieren, gibt es für Linux und Mac OS jeweils etwa 50 Viren.
Gründe dafür sind vor allem der hohe
Marktanteil von Windows, Sorglosigkeit
und fehlendes Wissen vor allem bei Privatanwendern sowie eine mangelhafte
Rechteverwaltung, die über lange Zeit
den Nutzern (und damit auch beliebiger
Malware) im normalen Betrieb vollen Zugriff auf Hardware und Betriebssystemfunktionen erlaubte.
Ein Computervirus infiziert einen Rechner
über eine Netzverbindung oder ein Wechselmedium. Die weitere Verbreitung auf
andere Rechner geschieht immer passiv,
da sich der Computervirus an zahlreiche
Dateien anhängt, die wiederum durch
Wechselmedien oder Netzwerke auf andere Rechner übertragen werden können.
Unter Linux hat der Standardnutzer nur
beschränkte Rechte und muss zur Installation von Programmen oder Veränderungen am System das Root- bzw. Administratorenpasswort angeben. Das hat
zur Folge, dass sich kein Schädling unbemerkt einnisten kann, zumindest nicht
ohne Passworteingabe.
In der Umgangssprache werden auch
Computerwürmer wie „I Love You“ zu
Viren gezählt. Der Unterschied besteht
jedoch darin, dass ein Wurm eine selbstständige Datei und ein Virus eine nichtselbstständige Programmfunktion ist. Der
selbständige Wurm verfolgt aktive Strategien, um sich auf andere Rechner zu
verbreiten, der Virus hingegen hängt sich
nur an Dateien an und verbreitet sich
über diese auf passive Art und Weise.
Die meist kommerzielle Nutzung von
Applecomputern führt dazu, dass der Sicherheitsstandard höher ist, weil professionell betreute Computersysteme oft gut
geschützt werden. Außerdem macht die
geringe Verbreitung von Macs die Virenentwicklung weniger lohnend.
Heutzutage sind Computerviren fast ausschließlich von Würmern verdrängt wor-
nahezu vollständigen Schutz, wenn keine Schreibgenehmigung für die Festplatten erteilt wird. Weil keine Veränderungen an Festplatten vorgenommen
werden können, kann sich kein schädliches Programm einschleichen.
Allgemeine
Prävention
Anwender sollten niemals unbekannte
oder Programme aus unsicherer Quelle
ausführen und generell beim Öffnen von
Dateien Vorsicht walten lassen. Das gilt
insbesondere für Dateien, die per E-Mail
empfangen wurden. Solche Dateien –
auch eigentlich harmlose Dokumente wie
Bilder oder PDFs – können durch Sicherheitslücken in den damit verknüpften Anwendungen auf verschiedene Weise Schadprogramme aktivieren. Daher ist
deren Überprüfung mit einem aktuellen
Antivirenprogramm Pflicht.
Schutz durch LiveSysteme
Betriebssystem und Anwendungen sollten regelmäßig aktualisiert werden. Ferner sollte dem Betriebssystem bereits im
Grundzustand alle wichtigen Service
Packs und Hotfixes durch sogenanntes
Slipstreaming oder unbeaufsichtigte Installation integriert werden. Dazu gibt es
auch die Möglichkeit, die Service Packs
und Hotfixes für Windows 2000 und
Windows XP via „Offlineupdate“ einzuspielen. Andernfalls könnte bereits beim
ersten Verbinden mit dem Internet der
PC infiziert werden.
Live-Systeme wie Knoppix, die unabhängig vom installierten Betriebssystem
von einer CD gestartet werden, bieten
Die eingebauten Schutzfunktionen des
Betriebssystems sollten ausgenutzt werden. Dazu zählt insbesondere, nicht als
Der Computer-Führer für Ärzte, Ausgabe 2006
68
Administrator mit allen Rechten, sondern
als Nutzer mit eingeschränkten Rechten
zu arbeiten, da dieser keine Software installieren darf. Das automatische Öffnen
von Dateien aus dem Internet sowie das
automatische Ausblenden von bekannten Dateianhängen sollte deaktiviert werden. Auch durch die Autostartfunktion
für CD-ROMs und DVD-ROMs können
Programme bereits beim Einlegen eines
solchen Datenträgers ausgeführt und damit ein System infiziert werden.
Es empfiehlt sich, die auf den meisten
Privatrechnern vorinstallierte Software
von Microsoft zu meiden oder umzukonfigurieren. Diese bieten durch ihren
extrem hohen Verbreitungsgrad eine große Angriffsfläche. Vor allem Internet Explorer (IE) und Outlook Express sind hier
zu nennen. Die zur Zeit bedeutendste Alternative zu IE ist Firefox, der mehr Sicherheit verspricht. Für Betriebssysteme
wie Mac OS X, GNU / Linux oder die aus
der BSD-Reihe existieren keine Viren, die
für den Benutzer eine Gefahr darstellen
können. Es gibt zwar Viren für diese Betriebssysteme, jedoch können sie sich auf
Grund von z. B. Rechtetrennung im Normalfall nicht stark verbreiten.
Personal Firewalls zeigen gegen Viren
keine Wirkung, da ihre Arbeitsweise
nichts mit der der Viren zu tun hat, sondern eher auf Würmer passt.
Quelle: Artikel „Computervirus“ in der deutschsprachigen Wikipedia (http://de.wikipedia.org/
wiki/Computervirus), eine Liste der beteiligten Autorinnen und Autoren kann dort eingesehen werden. Der Artikel und damit auch
der vorangehende Abschnitt stehen unter der
GNU Lizenz für freie Dokumentation (http://
de.wikipedia.org/wiki/Wikipedia:GNU_Free_
Documentation_License)
Einstellungen am
Rechner
Bereits durch das Aktivieren verfügbarer Sicherheitsfunktionen wird das Eindringen von Computer-Viren erheblich
erschwert.
■
Alle vorhandenen Sicherheitsfunktionen des Rechners aktivieren
(Passwort-Schutz, Bildschirmschoner mit Passwort etc.), damit während der Abwesenheit des berech-
Aktuelle Beiträge
■
■
■
■
■
■
tigten Benutzers Unbefugte keine
Möglichkeit haben, durch unbedachte oder gewollte Handlungen
den Rechner zu gefährden.
Aktuelles Viren-Schutzprogramm
mit aktuellen Signatur-Dateien einsetzen, das im Hintergrund läuft (resident) und bei bekannten Computer-Viren Alarm schlägt.
Im Microsoft Explorer sollte die Anzeige aller Dateitypen aktiviert sein.
Makro-Virenschutz von Anwendungsprogrammen (WinWord, Excel, Powerpoint, etc.) aktivieren und
Warnmeldungen beachten.
Sicherheitseinstellungen von Internet-Browsern auf höchste Stufe einstellen (Deaktivieren von aktiven
Inhalten [ActiveX, Java, JavaScript]
und Skript-Sprachen [z.B. Visual
Basic Script, VBS] etc.).
Keine Applikationsverknüpfung für
Anwendungen mit potentiell aktivem Code (MS-Office) im Browser
nutzen oder Anwendungen über Internet aktivieren.
Sicherheitseinstellungen (ECL) bei
Lotus Notes bearbeiten und das Ausführen von „gespeicherten Masken“
per Datenbank unterbinden.
Eingehende E-Mail
Eingehende E-Mail ist das größte Einfallstor für Computer-Viren. Bei sicherheitsbewusstem Verhalten lassen sich hierbei schon
die meisten Computer-Viren herausfiltern.
■
Offensichtlich nicht sinnvolle EMails von unbekannten Absendern
sofort ungeöffnet löschen.
■
Bei E-Mail auch von vermeintlich
bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text
der Nachricht auch zum Absender
passt (englischer Text von deutschem Partner, zweifelhafter Text
oder fehlender Bezug zu konkreten
Vorgängen etc.) und ob die Anlage
(Attachment) auch erwartet wurde.
■
Vorsicht bei mehreren E-Mails mit
gleichlautendem Betreff.
■
Kein „Doppelklick“ bei ausführbaren Programmen (*.COM, *.EXE)
oder Script-Sprachen (*.VBS, *.BAT),
Vorsicht auch bei Office-Dateien
(*.DOC, *.XLS, *.PPT) sowie Bildschirmschonern (*.SCR).
■
Auch eine E-Mail im HTML-Format
Der Computer-Führer für Ärzte, Ausgabe 2006
■
kann aktive Inhalte mit Schadensfunktion enthalten.
Nur vertrauenswürdige E-Mail-Attachments öffnen (z.B. nach tel. Absprache). Es ist zu beachten, dass
die Art des Datei-Anhangs (Attachment) bei Sabotageangriffen oft getarnt ist und über ein Icon nicht sicher erkannt werden kann .
Ausgehende E-Mail
Durch Beachtung der folgenden Maßnahmen kann die Gefahr reduziert werden, dass ein Endanwender unabsichtlich Computer-Viren verteilt.
■
E-Mails nicht im HTML-Format versenden, auch wenn es vom eingesetzten Mail-Programm her möglich wäre; ebenso sind aktive Inhalte in E-Mails zu vermeiden.
■
WinWord-Dokumente im RTF-Format versenden (Damit wird auch die
Weiterleitung von ggf. vertraulichen
Informationen im nicht direkt sichtbaren Verwaltungsteil der DOC-Datei verhindert.)
■
Keine unnötigen E-Mails mit
Scherz-Programmen und ähnlichem
versenden, da diese evtl. einen Computer-Virus enthalten können.
■
Keinen Aufforderungen zur Weiterleitung von Warnungen, Mails
oder Anhängen an Freunde, Bekannten oder Kollegen folgen, sondern direkt nur an den IT-Sicherheitsbeauftragten senden. Es handelt sich nämlich meist um irritierende und belästigende Mails mit
Falschmeldungen (Hoax oder „elektronische Ente“, Kettenbrief).
■
Gelegentlich prüfen, ob E-Mails
im Ausgangs-Postkorb stehen, die
nicht vom Benutzer selbst verfasst
wurden.
69
Verhalten bei
Downloads aus dem
Internet
Daten und Programme, die aus dem Internet abgerufen werden, stellen einen
Hauptverbreitungsweg für Computer-Viren und Trojanische Pferde dar, um Benutzerdaten auszuspähen, weiterzuleiten, zu verändern oder zu löschen. Es
muss darauf hingewiesen werden, dass
auch Office-Dokumente (Text-, Tabellenund Präsentations-Dateien) Makro-Viren enthalten können.
■
Programme sollten nur von vertrauenswürdigen Seiten geladen
werden, also insbesondere von den
Originalseiten des Erstellers. Private Homepages, die bei anonymen
Webspace-Providern eingerichtet
werden, stellen hierbei eine besondere Gefahr dar.
■
Die Angabe der Größe von Dateien sowie einer evtl. auch angegebenen Prüfsumme sollte nach einem Download immer überprüft
werden. Bei Abweichungen von der
vorgegebenen Größe oder Prüfsumme ist zu vermuten, dass unzulässige Veränderungen, meist
durch Viren, vorgenommen worden sind. Daher sollten solche Dateien sofort gelöscht werden.
■
Mit einem aktuellen VirenSchutzprogramm sollten vor der
Installation die Dateien immer
überprüft werden.
■
Gepackte (komprimierte) Dateien
sollten erst entpackt und auf Viren
überprüft werden. Installierte Entpackungsprogramme sollten so
konfiguriert sein, dass zu entpackende Dateien nicht automatisch
gestartet werden.
Letzte Virenwarnung
des BSI
W32.Sober.Q@mm
W32.Sober.Q@mm ist ein Massenmailer-Wurm, der sich über seine eigene
SMTP-Maschine versendet. Die Absender-Adresse wird dabei gefälscht! Der Betreff ist in Englisch („Your new Password“) oder in Deutsch („Fwd: Klassentreffen“). Beim Anhang handelt es sich
um eine .zip-Datei mit dem Namen
pword_chang.zip oder Klassenfoto.zip,
welche die schadhafte .exe-Datei mit dem
namen PW_Klass.Pic.packed-bitmap.exe
beinhaltet.
TROJ_YABE.A
TROJ_YABE.A ist ein Trojanisches Pferd,
welches den Wurm WORM_GOLDUN.A
alias W32.Starimp aus dem Internet lädt.
Die Infektion mit TROJ_YABE.A geschieht
über den infizierten Anhang einer E-Mail.
Bei der Ausführung der infizierten Datei
wird das System verseucht.Trojanische
Pferde verbreiten sich nicht von selbst.
Die Infektion des Systems wird manuell
durch das Ausführen des schadhaften EMail-Anhangs durchgeführt. Bei der Ausführung installiert sich das Trojanische
Pferd unter dem Dateinamen IPWF.EXE
im Windows-Systemverzeichnis und legt
zusätzlich die Datei WINUP.DAT im Unterverzeichnis DRIVERS an.
W32.Zotob.E
W32.Zotob.E ist ein Wurm, der sich über
Netzwerke verbreitet. Er nutzt dazu die
sogenannte Windows "Plug and Play"
Schwachstelle aus. Obwohl der Wurm auf
allen Windows-Betriebssystemen lauffähig ist, kann er nur Windows 2000-Systeme infizieren. er W32.Zotob.E legt sich
im Systemverzeichnis (Standard: C:\
Windows\System32 bzw. C:\Winnt\
System32) unter dem Namen WINTBP.
EXE ab. Durch Änderungen in der Registrierung wird diese Datei bei jedem
Neustart des Rechners aufgerufen und
ausgeführt.
Downloader.RY
Download.RY ist ein Trojanisches Pferd,
welches das Backdoor Nibu.J aus dem Internet lädt. Die Infektion mit Download.RY
geschieht über den infizierten Anhang einer E-Mail. Bei der Ausführung der infizierten Datei wird das System verseucht.
Trojan.Gpcoder
Trojan.Gpcoder ist ein Trojanisches Pferd,
das nach bestimmten Dateien sucht und
deren Inhalte verschlüsselt. Die verschlüsselten Dateien sind von den zugehörigen Programmen nicht mehr lesbar.
Eine Verteilung des Schadensprogramms
kann über Kommunikationskanäle wie
IRC, Tauschbörsen, Newsgroups oder EMail stattfinden. Bei der Ausführung der
Der Computer-Führer für Ärzte, Ausgabe 2006
infizierten Datei wird der Computer verseucht.
W32.Sober.p@mm alias Trojan.Ascetic.C
Sober.P ist ein Trojanisches Pferd, dasEMail-Nachrichten mit rechtsradikalem
Inhalt verbreitet. Der Text der E-Mails ist
in deutscher oder in englischer Sprache
verfasst.Der Wurm löscht Dateien des
AV-Herstellers Symantec. Weiterhin deaktiviert er Sicherheitssoftware, darunter die Windows XP-Firewall und das automatische Windows Update. Sober.P gelangt auf Computer, die mit dem Wurm
Sober.O infiziert sind. Sober.O lädt eine
Datei, die Sober.P beinhaltet, aus dem
Internet und infiziert damit den Computer. Sober.P selbst ist ein Trojanisches
Pferd, das sich nicht automatisch weiter
verbreitet.
W32.Sober.O@mm
W32.Sober.O@mm (Sober.O) ist ein Internetwurm, der sich per Massenmailing
mit seiner eigenen SMTP-Maschine verbreitet. Bei der Versendung von E-Mails
verwendet der Wurm E-Mail-Adressen,
die er auf dem befallenen System findet.
Der Text dieser E-Mail ist in deutscher
oder in englischer Sprache verfasst. er
Wurm löscht Dateien des AV-Herstellers
Symantec. Weiterhin deaktiviert er die
Windows XP-Firewall und das automatische Windows Update. Sober.O gelangt
als ZIP-Datei in einer E-Mail auf den
Computer. Wird die ZIP-Datei entpackt,
erhält man die Datei Winzipped-Text_Data.txt. Diese Datei hat die zusätzliche Erweiterung PIF oder EXE. Bei der Ausführung dieser Datei wird der Computer
infiziert. Dabei wird eine Fehlermeldung
angezeigt.
W32.Nopir.A
W32.Nopir.A (Nopir) ist ein Internetwurm,
der sich per Netzwerk, Peer to Peer verbreitet. Der Wurm beendet Prozesse von
70
Aktuelle Beiträge
Registry- und TaskManager-Tools und
löscht alle Dateien mit der Endung .com
und .mp3. Bei der Ausführung von
W32.Nopir.A wird der Computer infiziert:
line-Banking-Anwendungen sammelt.
Um unentdeckt zu bleiben, werden bekannte IT-Sicherheitsprogramme behindert bzw. abgeschaltet.
W32.Sober.N@mm/W32.Sober.N@mm!dr
W32.Sober.N@mm (Sober) ist ein Internetwurm, der sich per Massenmailing mit seiner eigenen SMTP-Maschine verbreitet. Bei der Versendung von
E-Mails verwendet der Wurm E-MailAdressen, die er auf dem befallenen System findet. Er beendet Prozesse von Sicherheitsprogrammen. Der Text dieser
E-Mail ist in deutscher oder in englischer Sprache verfasst.
W32.Sober.L@mm
W32.Sober.L@mm (Sober.L) ist ein Internetwurm, der sich per Massenmailing mit seiner eigenen SMTP-Maschine verbreitet. Er beendet Prozesse von
Sicherheitsprogrammen. Bei der Ausführung der angehängten Datei einer
infizierten E-Mail wird der Computer
infiziert.
PWSteal.Bankash.E
PWSteal .Bankash.E ist ein Trojanisches
Pferd, welches Benutzerdaten von On-
W32.Mydoom.AX@mm
W32.Mydoom.AX@mm (W32.Mydoom.AX) ist ein Internetwurm, der sich
per Massenmailing mit seiner eigenen
SMTP-Maschine verbreitet.
W32.Sober.J@mm
W32.Sober.J@mm (Sober.J) ist ein Internetwurm, der sich per Massenmailing
mit seiner eigenen SMTP-Maschine verbreitet. Er versendet sich selbst als Anhang einer E-Mail. Auch die Absenderadresse ist mit den gefundenen Adressen gefälscht.
W32.Beagle.AZ@mm
Diese Variante des Wurms Beagle (alias
Bagle) ist ein Internetwurm, der sich per
Massenmailing mit seiner eigenen SMTPMaschine verbreitet. Er verbreitet sich
auch über Netzwerkfreigaben von
Tauschbörsen.
Quelle: Bundesamt für Sicherheit in der
Informationstechnik.
Würmer, Phishing, Dialer, Spam & Co.
Was versteckt sich hinter den Begriffen
Malware
Als Malware (v. engl. malicious „boshaft“
u. Software) bezeichnet man Computerprogramme, die oft eine offene oder verdeckte Schadfunktion aufweisen und üblicherweise mit dem Ziel entwickelt werden, Schaden anzurichten. Schadfunktionen können zum Beispiel die Manipulation oder das Löschen von Dateien oder
die Kompromittierung der Sicherheitseinrichtungen (wie z.B. Firewalls und Antivirenprogramme) eines Computers sein.
Malware bezeichnet keine fehlerhafte
Software, auch wenn diese Schaden anrichten kann.
Es existieren folgende Typen von Malware:
Computerviren sind die älteste Art der
Malware, sie verbreiten sich, indem sie
Kopien von sich selbst in Programme, Dokumente oder Datenträger schreiben.
Ein Computerwurm ähnelt einem Computervirus, verbreitet sich aber direkt über
Netzwerke wie das Internet und versucht,
in andere Computer einzudringen.
Ein Trojanisches Pferd ist eine Kombination eines (manchmal nur scheinbar)
nützlichen Wirtsprogrammes mit einem
versteckt arbeitenden, bösartigen Teil, oft
Spyware oder eine Backdoor. Ein Trojanisches Pferd verbreitet sich nicht selbst,
sondern wirbt mit der Nützlichkeit des
Wirtsprogrammes für seine Installation
durch den Benutzer.
Eine Backdoor ist ein üblicherweise durch
Viren, Würmer oder Trojanische Pferde
installiertes Programm, das Dritten einen
unbefugten Zugang („Hintertür“) zum
Computer verschafft, jedoch versteckt
und unter Umgehung der üblichen Sicherheitseinrichtungen. Backdoors werden oft für Denial of Service-Angriffe
benutzt.
Als Spyware bezeichnet man Programme, die Informationen über die Tätigkeiten des Benutzers sammeln und an
Dritte weiterleiten. Ihre Verbreitung erfolgt meist durch Trojaner.
Oft werden auch Dialer (Einwahlprogramme auf Telefon-Mehrwertrufnummern) zur Malware gezählt, obwohl sie
Der Computer-Führer für Ärzte, Ausgabe 2006
grundsätzlich nicht dazu zählen. Illegale Dialer-Programme allerdings führen
die Einwahl heimlich – unbemerkt vom
Benutzer – durch und fügen dem Opfer
(oft erheblichen) finanziellen Schaden zu
(Telefonrechnung).
Computerwurm
Ein Computerwurm ist ein selbstständiges Computerprogramm (Gegensatz:
Computervirus), das sich über Computernetzwerke durch Ausnützen von Sicherheitslücken verbreitet, wie zum Beispiel durch Versenden von infizierten EMails (selbstständig durch eine SMTPEngine oder durch ein E-Mail-Programm),
durch IRC-, Peer-To-Peer- und InstantMessaging-Programme oder über Dateifreigaben. Die erst seit kurzem auftretenden Handywürmer verbreiten sich über
Bluetooth und infizierte MMS.
Ein Wurmprogramm muss nicht unbedingt eine spezielle Schadensroutine enthalten. Da das Wurmprogramm aber sowohl auf den infizierten Systemen als
auch auf den Systemen, die es zu infi-