2001/12/05 Virenwarnung: 'gone', 'pentagone' und andere
Würmer richten enormen volkswirtschaftlichen Schaden an - Kosten gehen mittlerweile in 100te Mio. ATS / Jahr
Unter dem Namen "Goner" ist derzeit ein neues Virus, genauer ein Wurm im Umlauf. Andere Bezeichnungen sind "Pentagone" oder kurz "gone". Wird der Wurm aufgerufen, dann wird versucht über bestehende Mailadress- Bücher weitere Internetteilnehmer diesen Wurm zuzusenden.
Besonders heimtückisch ist, daß das Programm versucht Virenschutzprogramme und andere Sicherheitsprogramme zu löschen.
ERKENNBARKEIT:
Im Betreff steht bloß der Vermerk: "Hi". Der Text enthält eine Information in dieser Art: "How are you ?When I saw this screen saver, I immediately thought about you I am in a harry, I promise you will love it!". Das Attachment trägt die Bezeichnung GONE.SCR Wie wir von anderen Würmern wissen, ist jedoch zu beachten, daß diese Informationen variieren können.
ANALYSE:
Es handelt sich um die x-te Version der in VisualBasic oder einer anderen Programmsprache programmierten, als EXE-Programm oder in einer anderen ausführbaren Version verschickten Würmer, die nur dann Schaden stiften können, wenn sie durch den Benutzer selbst aufgerufen werden oder der Benutzer Mail- und Browserprogramme verwendet, die bestimmte Dateien und Mailattachments automatisch ausführen. Unter anderem gehen von Microsoft Outlook, aufgrund seiner hohen Bequemlichkeit besondere Gefahren aus. Durch die Möglichkeit vieles zu automatisieren wird dieses Programm besonders gern von unerfahrenen Mail-Usern benutzt.
WISSEN:
Als "Viren" werden Programmteile bezeichnet, die sich in bestehende nützliche Programme, etwa Textverarbeitung, Datenbankprogramme usw. einnisten und durch den Aufruf des Wirtsprogramms, etwa um einen Brief zu schreiben, sich weiter verbreiten und ihr Schadenspotential entfalten. Gegen Viren helfen in der Regel Virenscanner sehr gut, wenn diese regelmäßig aktualisert werden.
Als "Würmer" werden selbständige Programme bezeichnet, die ihr Schadenspotential nur dann entfalten können, wenn sie selbst aufgerufen werden. Um nun einen Benutzer zu einem Aufruf zu bewegen, tarnen sich diese Programme als "Screensaver", "Bildschirm- oder Druckerdriver", "Programpatches", "Porno- oder sonstige Movies", e-cards oder schlicht als sog. komprimierte, selbstextrahierende Programme. Viele Menschen öffnen derartige Dateien aus bloßer Neugier. Erfolgt die Weiterverbreitung über ein Adreßbuch, dann ist meist der Absender eine bekannte - also vertrauenswürdige - Person und es bestehen noch geringere Hemmungen, derartige Dateien zu öffnen. Gegen Würmer sind Virenscanner, besonders wenn sie neu im Umlauf sind, relativ machtlos. Virenscanner können ja nur Unregelmäßigkeiten in einem Programm erkennen, nicht jedoch, das ein Programm selbst gefährlich ist.
Als "Trapdoors" (dt. Hintertür) werden Programmteile in an sich nützlichen Programmen bezeichnet, über die unerwünscht und für einen Laien unbemerkt Daten, etwa des lokalen PCs, aber auch sensible Firmendaten eines Fileservers verschickt werden können oder über die Fremde Zugriff auf einen Computer erhalten können. Teilweise sogar durch Firewalls hindurch. Ein schadenspoztential entfalten derartige Trapdoors sobald ein Benutzer Online ist.
HILFESTELLUNG:
"gone" ist derzeit nicht der einzige Wurm der im Umlauf ist, ein "SETUP.DOC.scr" wird schon seit Tagen verbreitet und ist durch ein "Re: " im Subject zu erkennen, aber auch andere Würmer, die mit einem Text wie "Hi! How are you" erkennbar sind und seit mehreren Wochen im Umlauf sind, werden noch immer von Menschen, die selten Mail benutzen verbreitet. Sehr oft sind derartige Wurm_mails schon von der Dateigröße (typisch sind 39, 40 oder 31 kByte).
Dr. Hans G. Zeger, Obmann ARGE DATEN: "Nach unseren Analysen sind etwa 80-90% aller als Screen-Saver, Movies, Driver, Porno-Bilder, ... verschickten Dateien sind Würmer, enthalten Viren, Trapdoors oder wurmähnlichen Programmcode. Wir warnen alle Mailnutzer überhaupt Attachments zu öffnen. Sollte es trotzdem notwendig sein, dann sollten nur angekündigte Attachments und diese nur in sicherer Umgebung geöffnet werden. Die einfachste Sicherheitsmaßnahme ist die Nutzung eines Mailprgramms, daß keine Attachments automatisch ausführt. Auch der Einsatz von Standalone-PC's ist hilfreich oder die Beschränkung auf bestimmte Dateitypen, die signierte Dateien enthalten, wie z.B. pdf-Dateien."
Der volkswirtschaftliche Schaden ist derzeit nicht abschätzbar, doch dürfte mittlerweile 1-5% des IT-Zeitbudgets jeder Firma dazu verwendet werden, befallene Mails zu erkennen, zu entfernen, Abwehrmaßnahmen zu setzen oder zerstörte Systeme wieder neu zu installieren. Als IT-Zeitbudget sind alle Zeiten zu verstehen, die Sachbearbeiter und Fachkräfte mit dem Computer verbringen bzw. die komplette Arbeitszeit des IT-Fachpersonals.
|
