Das 2. Quartal 2006 erscheint - nach Ansicht von Alexander Gostev, Senior Viren Analytiker bei Kaspersky Lab oberflächlich als eines der ruhigsten in den letzten Jahren. Das praktisch vollständige Fehlen mehr oder weniger spürbarer Epidemien von E-Mail- und Netzwürmern traf mit der Veröffentlichung von Beta-Versionen und hochwertigen neuen Generationen der meisten führenden Antiviren-Hersteller zusammen. Die Virenschreiber gönnten sich eine Pause zur Erarbeitung neuer Methoden, um Antiviren-Programmen entgegenwirken zu können. Deshalb entwickelten sich grundlegende Kämpfe in einem dem einfachen Nutzer nicht erkennbaren Bereich. Dennoch sickerten manchmal Meldungen dieses versteckten Kampfes in die Medien. Wir versuchen nun, detaillierter über die Ereignisse zu berichten, die im Schatten blieben, betrachten aber auch jene noch einmal, die eine größere Aufmerksamkeit auf sich zogen.
Vielfältige Schwachstellen in MS-Office-Produkten
Wir alle erinnern uns daran, dass die letzten drei Jahre durch eine gewaltige Anzahl kritischer Schwachstellen im Betriebssystem Windows gekennzeichnet waren. Begriffe wie RPC-DCOM, LSASS, WINS und PnP wurden nicht nur zum Gesprächsstoff für Systemadministratoren und Programmierer, sondern bereiteten auch den Analytikern von Antivirus-Unternehmen Kopfschmerzen und versetzten einfache Nutzer in Angst und Schrecken. Löcher von gigantischem Ausmaß in Windows-Netzanwendungen ermöglichten den Zugang zu zig Millionen verwundbarer Computer auf der ganzen Welt - und die Virenschreiber nutzten das natürlich aus. Eben wegen dieser Schwachstellen wurden solch epochale Würmer wie Lovesan, Sasser oder Mytob zum Leben erweckt - ganz abgesehen von den hunderten anderen, dem breiten Publikum weniger bekannten, aber dennoch nicht weniger gefährlichen Viren.
Ungefähr bis zum Herbst 2005 gelang es Microsoft mehr oder weniger gut, diese Schwachstellen zu beseitigen, was vor allem von der Entwicklung des zweiten Servicepacks für Windows XP gefördert wurde. Damit verlagerten die Hacker ihre Aufmerksamkeit von Windows-Hauptmodulen auf zweitrangige System-Komponenten. Den größten Erfolg erzielten sie im Dezember 2005, als sie eine Lücke in WMF-Dateien entdeckten und ausnutzten. Ein anderer Teil der Hacker-Gemeinschaft richtete seinen Blick auf die Suche nach Problempunkten in Antiviren-Programmen und Netzinstallationen. Doch ab dem Sommeranfang 2006 geriet die zweite wichtige Entwicklung von Microsoft ins Visier (betrachtet man die Gewinne, ist es eigentlich die wichtigste): das MS-Office-Paket.
Die in Microsoft Office genutzten OLE-Dateien haben schon vor langer Zeit die Aufmerksamkeit der Sicherheits-Experten geweckt. Dieses Format bleibt – ungeachtet dessen, dass es schon ziemlich lange gut dokumentiert ist – bis heute eine eigentümliche Blackbox mit einer Vielzahl von Elementen. Eine zu große Anzahl kritisch wichtiger Bereiche und zu viele verworrene Wechselwirkungen zwischen den Bereichen – all das hat bereits im Jahr 2003 zum Entstehen einer gefährlichen Schwachstelle in MS-Office-Dokumenten (MS03-037) geführt, die es gestattete, beim Öffnen eines speziell formatierten Dokuments einen beliebigen Code auszuführen. Diese Schwachstelle haben einige chinesische Hackergruppen lange Zeit aktiv für ihre Angriffe ausgenutzt. Man hat allen Grund anzunehmen, dass genau diese Gruppen auch bei der Aktion beteiligt waren, die im März 2006 begann.
Die Schwachstelle MS06-012 betraf alle Produkte von MS Office ab den 2000er Versionen. Das war die erste Alarmglocke, die nicht nur die Aufmerksamkeit von Microsoft weckte, sondern auch die der Mehrzahl von Hackern. OLE-Dokumente wurden augenblicklich zum Objekt angestrengter Forschung. Leider muss man anerkennen, dass sich die Hacker als aufmerksamere Beobachter erwiesen, als Microsoft selbst. Die im Laufe der folgenden drei Monate entdeckten Löcher unterschieden sich ihrem Wesen nach nur ganz geringfügig voneinander. Jedem lag das gleiche Problem zugrunde: Die fehlerhafte Überprüfung einiger Daten in der Beschreibung von OLE. Microsoft beschränkte sich auf die Ausgabe von Krücken - aus irgendeinem Grund ohne Überprüfung der benachbarten Felder in den Dateien. Nach der Veröffentlichung des darauf folgenden Patches erschien schon am nächsten Tag die Information über eine neue Schwachstelle. Es ist schon komisch, dass das Auftauchen dieser vielfältigen Probleme, vor allem bei Excel, zeitlich mit der Veröffentlichung eines direkten Excel-Konkurrenten durch das Unternehmen Google zusammenfällt.
Hier eine Chronologie der Microsoft-Schwachstellen (gemäß den Daten von US-CERT):
- 14. März 2006: Microsoft Office routing slip buffer overflow
- 14. März 2006: Microsoft Excel malformed record memory corruption vulnerability
- 14. März 2006: Microsoft Excel fails to properly perform range validation when parsing document files
- 14. März 2006: Microsoft Excel malformed graphic memory corruption vulnerability
- 14. März 2006: Microsoft Excel malformed description memory corruption vulnerability
- 14. März 2006: Microsoft Excel malformed parsing format file memory corruption vulnerability
- 19. Mai 2006: Microsoft Word object pointer memory corruption vulnerability
- 13. Juni 2006: Microsoft PowerPoint malformed record vulnerability
- 16. Juni 2006: Microsoft Excel vulnerability
Die Schwachstelle vom 19. Mai wurde zur Hauptgefahr. Die Experten erfuhren von ihrer Existenz nur aufgrund der massenhaften Versendung eines Trojaners, der diese Schwachstelle ausnutzte. Wieder ein Fall, in dem Virenschreiber eine nur ihnen bekannte Lücke ausnutzten – ein so genannter "Zero-Day Exploit". Derartige Schwachstellen stellen die größte Gefahr dar, weil der Softwarehersteller Zeit für die Problemanalyse und die Ausgabe eines Patches aufbringen muss, während sich zur gleichen Zeit der schädliche Code aktiv im Internet ausbreitet.
Microsoft hat fast einen ganzen Monat benötigt, um die Korrekturen MS06-027 (Word remote code execution) und MS06-028 (Powerpoint remote code execution) herauszugeben. Wir haben uns zwar schon daran gewöhnt, dass sich Microsoft mit manischer Beharrlichkeit an den Ablauf der Veröffentlichung von Updates am 2. Dienstag jeden Monats hält, und das könnte man auch als richtig anerkennen, wenn nicht drei Tage nach Ausgabe regulärer Patches (13. Juni) eine praktisch identische Schwachstelle in MS Excel entdeckt worden wäre. Wie kann man bei der Vorbereitung eines Patches nicht die Möglichkeit der Existenz analoger Probleme prüfen? Dafür gibt es keine Erklärung, doch hierzu später mehr. Die letzte Juni-Woche offenbarte noch zwei weitere Schwachstellen in MS Office – Microsoft Hyperlink Object Library Buffer Overflow und Microsoft Excel 'Shockwave Flash Object'. Die von Kaspersky-Lab-Experten durchgeführte Analyse zeigt, dass den Schwachstellen meist ein und dasselbe Problem zugrunde liegt. Offenbar beschränkt sich das Unternehmen Microsoft nur auf die Ausgabe von Patches für jede gefundene Schwachstelle. Eigentlich sollten alle Strukturbereiche von OLE-Objekten geprüft werden, doch das sind nicht gerade wenige.
Der Fakt, dass fast alle Schwachstellen zuerst von Vertretern der Blackhat-Community entdeckt und zur Verbreitung eines schädlichen Codes verwendet wurden, macht die Situation noch kritischer. Die Virenschreiber sind heute einen Schritt voraus und können zu einem beliebigen Zeitpunkt einige neue gefährliche Programme ins Internet einschleusen.
Wir rufen alle Nutzer und Systemadministratoren daher auf, die Sicherheitsmaßnahmen in Bezug auf MS-Office-Dokumente größtmöglich zu verstärken, niemals Dateien zu öffnen, die aus zweifelhaften Quellen stammen, sondern diese unbedingt einem Antiviren-Scan zu unterziehen. Zudem sollten auch immer die Patches von Microsoft installiert werden, doch leider gibt es in einigen Fällen keine passenden Patches…
"Code-Knacker" – der Kampf gegen Ransomware
Wir beobachten dieses Thema schon lange und praktisch in jedem unserer Quartalsberichte haben wir den Vertretern der relativ neuen Klasse Ransomware einen Platz eingeräumt. Erpresserviren, allen voran der berühmt-berüchtigte GpCode, erschienen erstmalig Ende 2004 auf der Bildfläche, entwickelten sich aktiv während des gesamten Jahres 2005 und sind in diesem Jahr auf dem vorläufigen Gipfel ihrer Aktivität.
Wenn sich in der ersten Zeit die Autoren derartiger Viren auf primitive Chiffrierungs-Algorithmen (GpCode) oder die einfache Beschädigung der Systemregistry (Krotten) beschränkten, so gelangten sie langsam zu stabileren Methoden der Chiffrierung (RSA) und nutzten auch verschlüsselte Archive.
Wir haben bereits davon berichtet, dass der Trojaner Cryzip amerikanische Nutzer attackierte, indem er Dateien in kennwortgeschützten ZIP-Archiven speicherte, deren Passwort mehr als 30 Symbole enthielt. Im Mai 2006 wurde eine ähnliche Idee in Großbritannien verwirklicht: Der Trojaner MayArchive machte genau dasselbe und eine Reihe von Antiviren-Experten war geneigt, ihn einfach als neue Version von Cryzip anzusehen. Für westliche User gibt außer diesen Trojanern nur wenige Erpressungs-Gefahren, in Russland dagegen hat dieses Vorgehen eine größere Verbreitung gefunden.
Der Chiffrier-Algorithmus RSA wurde erstmals im Januar 2006 bei GpCode.ac genutzt. Der Autor hatte sich auf eine Schlüssellänge von 56 Bit beschränkt, so dass die Antiviren-Unternehmen keinerlei Probleme hatten, ihn zu knacken und die infizierten Dateien wiederherzustellen. Die Leichtigkeit, mit der der Schlüssel geknackt und die Dateien wiederhergestellt waren, zwang den Virenschreiber dazu, den (so schien es ihm) Weg des geringsten Widerstands zu gehen. Im Juni traf das russische Internet Runet eine neue Virenversion. Dieses Mal wurde ein bedeutend längerer Schlüssel genutzt – mit einer Länge von 260 Bit. Trotzdem schafften es unsere Experten in weniger als 5 Minuten, ihn zu knacken. Damit begann ein richtiger Wettlauf: Wer ist hartnäckiger, wessen Rechenleistung und Erfahrung in der Kryptographie sind besser. Auch wenn sich der Autor von GpCode ergeben konnte, bei den Antiviren-Unternehmen war eine solche Möglichkeit ausgeschlossen – man musste die leidenden Nutzer verteidigen. Auf das Knacken des 260–Bit-Schlüssels antwortete der Virenschreiber mit einer neuen Version – 330 Bit! Das war schon sehr ernst. Einige Antiviren-Unternehmen gingen in diesem Stadium schon auf Distanz. Doch Kaspersky Lab meisterte den Schlüssel in weniger als 24 Stunden. Der Autor von GpCode stürzte sich Hals über Kopf in die Sache und am 7. Juni 2006 befiel GpCode.ag tausende Computer in Russland. In ihm wurde ein Schlüssel mit 660 Bit Länge verwendet - der längste, der jemals genutzt wurde. Nach ungefähren Berechnungen hätte ein Computer mit 2,2 GHz mehr als 30 Jahre benötigt, um den Schlüssel zu knacken. Doch wir hatten sagenhaftes Glück: Die Dechiffrierverfahren für Dateien, die mit dem Schlüssel RSA-660 versehen waren, wurden unseren Antiviren-Datenbanken noch am gleichen Tag hinzugefügt. Ich kann hier keine Details offen legen, aber glauben Sie mir, das war die beste Lösung einer kryptographischen Aufgabe in der gesamten Geschichte der Computervirologie. Gleichzeitig versuchten wir, die Internetseite, von der aus GpCode verbreitet wurde, schließen zu lassen - und am Morgen des folgenden Tages wurde sie vom Netz genommen. Bisher haben wir keine neuen Varianten dieses Virus gefunden, doch das Auftauchen eines GpCode mit noch längerem Schlüssel ist niemals auszuschließen.
Von besonderem Interesse ist das Verbreitungsschema dieses Virus: Es wurde eine der raffiniertesten Methoden angewendet – der gezielte Angriff auf die Nutzer einer der populärsten russischen Seiten zur Stellensuche. Allen, die dort eine Anfrage gestellt hatten, schickte der Virenautor einen Brief mit einem Trojaner, angeblich als Antwort auf ihre Anzeige. Genau dies ermöglichte die vielen Infizierungen. Das ist ein echter Krimi mit einem noch nicht geschriebenen Finale. Kaspersky Lab veröffentlichte bereits einen Artikel über die Methoden von GpCode:"Erpresser – Digitale Geiselnahme in drei Stufen".
Versuchen wir, in die Zukunft zu schauen und uns vorzustellen, was uns mit der weiteren Entwicklung der asymmetrischen Chiffrierung in Schadprogrammen erwarten kann. Obwohl es uns gelang, Schlüssel von 330 und 660 Bit in annehmbaren Zeiten zu zerlegen, ist es klar, dass derartige Schlüssel praktisch die Grenze der modernen Kryptographie darstellen. Bei der qualitativen Realisierung von RSA oder eines beliebigen anderen analogen Algorithmus mit öffentlichem Schlüssel können die Antiviren-Unternehmen machtlos vor einer Aufgabe stehen, die auch über die Kräfte vieler Rechenzentren mit Supercomputern geht. Wie wir sehen, kann die einzige Verteidigungsmethode nur in präventiven Maßnahmen bestehen: Backup-Kopien aller genutzten Dokumente, Datenbanken und Mail-Datenbanken. Die Antiviren-Unternehmen müssen die Entwicklung proaktiver Methoden verstärken, die bereits die Chiffrierung/Archivierung von Nutzerdaten blockieren.
Die Autoren von GpCode, Cryzip und Krotten sind immer noch auf freiem Fuß und auch wenn wie verhaftet werden sollten, ist doch niemals auszuschließen, dass nicht neue Verbrecher ihren Platz einnehmen. Deshalb wird das Thema Ransomware in naher Zukunft eines der wichtigsten der Antiviren-Industrie bleiben.
Script-Polymorphismus
Der Begriff "Polymorphismus" (griech. Vielgestaltigkeit) erschien in Bezug auf Computer schon im Jahr 1990. Seit dieser Zeit hat der Polymorphismus bei Viren eine Vielzahl von Entwicklungsstadien durchlaufen, von einfachster byteorientierter xor-Chiffrierung bis zu kompliziertesten Metamorphen, die schwierige Algorithmen ausnutzen, darunter kryptographische. Über den Polymorphismus wurden schon viele Artikel und wissenschaftliche Dissertationen geschrieben. Polymorphe Viren entwickelten sich ungefähr bis zum Beginn des 21. Jahrhunderts, danach erfolgte aber ein allgemeines Umschwenken der Virenschreiber in Richtung Würmer und Trojaner. Die Technik der ständigen Codemutation zur Täuschung von Antiviren-Programme erschien zeitweise nicht erforderlich.
Dennoch hat ungefähr seit 2003 der Polymorphismus erneut begonnen, die Aufmerksamkeit der Virengemeinschaft auf sich zu ziehen, denn Antiviren-Programme wurden immer besser und es war kaum mehr möglich, verschiedene Packerprogramme als Instrumente der Codeverschlüsselung zu nutzen. Also wurden aus den Archiven die "Klassiker" des Viren-Polymorphismus geholt: DarkAvenger-a, Black Baron, Zombie. Sie wurden unter Berücksichtigung moderner Erkenntnisse und Rechnerleistungen neu betrachtet und allmählich erschienen im Internet einzelne polymorphe Viren der neuen Generation.
Polymorphismus, Verunreinigung des Codes, Widerstand gegen Analyseprogramme – mit derartigen Problemen mussten sich die Analytiker der Antiviren-Labore in den letzten Jahren auseinandersetzen. Ende 2005, Anfang 2006 erreichte der Polymorphismus einen bis dato exotischen Bereich: die Scriptviren/-würmer.
Für den Kampf gegen binäre Polymorphe schufen die Antiviren-Unternehmen schon vor langer Zeit verschiedene Code-Emulatoren und heuristische Analysatoren, doch für den Kampf gegen Scriptschädlinge existierte diese Notwendigkeit bisher nicht. In den Scriptsprachen wurden nur einige Exploits von Schwachstellen in Browsern realisiert und einige darauf basierende Trojaner-Downloader. Den Gipfel ihres Ruhms und ihrer Popularität überschritten die Scriptviren schon Ende des letzten Jahrhunderts, gemeinsam mit dem Wurm LoveLetter.
Ein österreichischer Schüler, bekannt unter dem Pseudonym Spth, wurde zu einem der aktivsten Erforscher des Polymorphismus. Ihm gelang es, einen sehr interessanten polymorphen Algorithmus im JavaScript-Virus Cassa zu realisieren. Doch nicht nur Verbrecher wurden aufmerksam, denn das Thema war auch für Webmaster interessant, die auf diese Art und Weise den Code ihrer Seiten vor Diebstahl schützen wollten.
Es erschienen einige Programme, die es gestatteten, den Inhalt von HTML-Seiten zu verschlüsseln. Die Programme basierten auf JavaScript-Funktionen, die den Inhalt von HTML-Seiten in Echtzeit dechiffrierten und den Code im Browser korrekt darstellten. Das gab den Virenschreibern faktisch fertige Virenkonstrukte in die Hände, für deren Nutzung keine fundierten Kenntnisse der Polymorphismus-Theorie notwendig waren. Es tauchten Script-Kiddies auf (den Begriff Script kann man hier buchstäblich nehmen), die die Antiviren-Industrie durch die Chiffrierung von Exploits und Trojanern zwangen, sich ernsthaft damit auseinander zu setzen. Diese Aufgabe wird dadurch erschwert, dass traditionelle Methoden der Code-Emulation hier nicht so gut anwendbar sind, weil es notwendig ist, Internetseiten im Moment ihres Downloads im Browser zu überprüfen. Schon eine geringe Verzögerung in der Arbeitsgeschwindigkeit kann zu vielfältigen Beschwerden der Nutzer über ein "langsames Internet" führen.
Leider sind einige Autoren legaler Chiffrierprogramme von Webseiten noch weiter gegangen und machten den Code ihrer Programme vollständig öffentlich. Damit gaben sie allen Interessenten die Möglichkeit, sich ziemlich mächtige polymorphe Algorithmen (etwa HTMLGuard) anzueignen. Das alles führte dazu, dass wir in der ersten Hälfte des Jahres 2006 auf einige ganz gefährliche und aktiv verbreitete Würmer stießen – Feebs und Scano.
Beide verbreiteten sich über E-Mail-Anhänge, die eigentlich chiffrierte JavaScripte waren. Allerdings sahen sie aus wie gewöhnliche HTML-Seiten, so dass die Nutzer arglos darauf klickten, da sie ja daran gewöhnt waren, dass Viren entweder als ausführbarer Dateien oder MS-Office-Dokumente verschickt wurden. HTML-Seiten werden von der Masse der Leute noch immer nicht als gefährlich angesehen.
Beim Öffnen einer solchen Datei wird ein polymorpher Code ausgeführt, der eine "normale" ausführbare Datei auf dem Rechner installiert – das ist dann der eigentliche Wurm. Anschließend beginnt er unter anderem, neue Kopien in Form von JavaScript-Dateien zu generieren, die sich voneinander so sehr unterscheiden, dass man in ihnen kein einziges gemeinsames Code-Stück finden kann. Anschließend werden diese Dateien vom infizierten Computer an alle gefundenen E-Mail-Adressen geschickt und der Zyklus wiederholt sich. Um den Antiviren-Labors die Arbeit zu erschweren, geben die Autoren dieser Würmer zudem alle 2 bis 3 Tage neue Varianten heraus.
Hier haben wir also eine veraltete Technik, die an neue Bedingungen angepasst wurde, sowie einige Anzeichen von Social Engineering (wenn Nutzer nicht über die Gefährlichkeit gewöhnlicher HTML-Seiten nachdenken, die in Wirklichkeit einen Script-Code enthalten können). Wir haben allerdings auch einige Probleme bei der Schaffung zuverlässiger Methoden zur Entdeckung ähnlicher Viren – aufgrund der notwendigen Schnelligkeit der Arbeit und des großen Risikos falscher Positivmeldungen auf "ehrlich" chiffrierten Seiten.
All das zeigt, dass – ungeachtet der aktiven Entwicklung neuer Viren und Antiviren-Technologien – klassische Methoden noch immer aktuell bleiben. Leider wird die Antiviren-Industrie heute nicht nur von Veteranen-Unternehmen vertreten, sondern auch von einer Masse junger Startups, die nicht über den großen Erfahrungsschatz verfügen. Viele neumodische Technologien wie die Überprüfung des HTTP-Traffics in Echtzeit erweisen sich – angewendet bei polymorphen Viren – als absolut nutzlos.
Konzepte
In der heutigen Zeit erlebt der Virengedanke einen gewissen Stillstand. Wie wir bereits oben erwähnten, müssen sich die Virenschreiber den alten, fast vergessenen Technologien zuwenden, die heißen Themen der letzten Jahre – Rootkits, Botnets, Schwachstellen in Microsoft-Produkten – stehen heute längst nicht mehr an erster Stelle. Virenschreiber suchen gezielt neue Möglichkeiten der Infizierung einer noch größeren Zahl von Nutzern. Im Vordergrund stehen Konzepte, die vielleicht nie verwirklicht werden, aber dennoch die Antiviren-Unternehmen dazu zwingen, eine würdige Antwort vorzubereiten.
Das Jahr 2006 wurde bereits zu einem der "konzeptaktivsten" in der Geschichte der Viren. Im ersten Quartal untersuchten wir Gefahren wie den ersten Trojaner für die Plattform J2ME, die weltweit in den meisten Mobiltelefonen zu finden ist, den ersten "echten" Virus für das Betriebssystem MacOS X und den Bluetooth-Wurm für das gleiche System. Die Forscher der Universität Michigan, die von Microsoft gesponsert werden, veröffentlichten das Rootkit SubVirt, das auf der Technologie "virtueller Maschinen" beruht. Darüber haben wir bereits in unserem letzten Quartalsbericht berichtet. Eine derartige Aktivität erklärt sich auch dadurch, dass durch die Anstrengungen der Sicherheitsorgane verschiedener Länder die bekannte Virenautoren-Gruppe 29A praktisch vollständig zerschlagen wurde. Diese Gruppe zählte in den letzten Jahren zu den wichtigsten Ideologen und Urhebern der Szene. Auf den frei gewordenen Platz stießen neue Leute, die danach streben, in die Geschichte der Computerviren einzugehen.
Auch in den vergangenen drei Monaten traten die Virenschreiber nicht auf der Stelle. Über die aktuellen Entwicklungen wollen wir nun berichten:
Beginnen wir mit dem ersten Virus für ein weiteres Produkt von Microsoft – den Publisher. Dieses Programm ist eines der ältesten Programme von Microsoft und wird vor allem von Verlagen genutzt. In den 1990er Jahren war es ganz populär, hat seine Vorherrschaft aber allmählich an Konkurrenten abgeben müssen. Dennoch existiert das Produkt nach wie vor, wird weiterentwickelt und regelmäßig erscheinen neue Programmversionen. Bisher war es für Virenautoren nicht von Interesse, doch der Drang zum Ruhm zwang sie, ihre Aufmerksamkeit auch darauf zu lenken. Wahrscheinlich sollte es einfach abgehakt werden, um möglichst viele Programme von Microsoft vollständig mit Viren einzudecken. Eine junge ukrainische Virenschreiberin, bekannt unter dem Pseudonym Pativara, tat sich besonders hervor. Im April 2006 schickte sie ihren Virus für MS Publisher 3.0, der die Bezeichnung Avarta erhielt, an Kaspersky Lab.
Aufgrund der groben Vervielfältigungsmethode und den zu offensichtlichen destruktiven Funktionen hatte Avarta in der virtuellen Freiheit keinerlei Chancen. Drei bis vier Jahre früher wäre er ein ganz interessantes Beispiel neuer Virentechnologien gewesen. Aber mittlerweile sind Makroviren praktisch ausgestorben und das Erscheinen von Avarta ist eher der Beweis für eine Möglichkeit, die niemals zu einer echten Gefahr werden wird.
Von erhöhtem Interesse sind dagegen Viren, die in der Lage sind, sich gleichzeitig unter mehreren Betriebssystemen zu verbreiten, etwa unter Windows und Linux. In diese Richtung wird bereits ziemlich lange gearbeitet und im April erhielten wir ein weiteres Beispiel eines ähnlichen Virus: Bi.a ist in der Lage, Dateien im aktuellen Verzeichnis zu infizieren, indem er bestimmt, unter welchem Betriebssystem die Datei gestartet wurde und in Abhängigkeit davon einen entsprechenden Algorithmus zur Infizierung der Dateien nutzt.
Unsere Mitteilung über die Entdeckung dieses Virus hat eine unerwartet breite Resonanz in der Linux-Gemeinschaft hervorgerufen. Der Guru selbst – Linus Thorwalds – widmete sich der Angelegenheit. Nachdem er die Resultate der Analyse des Codes von Bi.a sowie von einigen in Linux entdeckten Fehlern erfahren hatte, aufgrund derer der Virus auf einigen Linux-Kernen nicht arbeiten konnte, gab er ein Patch heraus (das den Virus erst vollständig arbeitsfähig machte). Gleichzeitig beschuldigte er Kaspersky Lab der Überbewertung eines unwichtigen Ereignisses, obwohl gerade die Linuxverfechter den größten Lärm machten, die von dem vollständigen Schutz ihres geliebten Betriebssystems überzeugt waren.
Fakt ist: Crossplattformviren unter Windows und Linux bleiben nach wie vor Gegenstand erhöhten Interesses seitens der Virenschreiber und ein Ende der Arbeit in dieser Richtung ist nicht abzusehen.
Als Exoten kann man die im April/Mai erschienenen Viren für das Mathematikprogramm Matlab ansehen: Der Virus Gabol wurde in der in Matlab eingebauten Scriptsprache geschrieben und sollte alle Arbeitsdateien dieses Programms durch das Hinzufügen seines Codes an den Dateianfang verseuchen. Xic.a ist ein komplizierter Virus und wurde unter Nutzung genau desselben Polymorphismus geschrieben, über den wir oben berichtet haben. Es ist schwer, sich aufgrund der geringen Verbreitung von Matlab die Möglichkeiten der praktischen Anwendung derartiger Viren vorzustellen, sodass wir es hier wohl auch mit Konzepten zu tun haben, mit denen sich die Autoren profilieren wollen.
Bedeutend gefährlicher sind Makroviren für StarOffice. Dieses Paket ist der Hauptkonkurrent von MS Office und erfreut sich sich großer Popularität bei Linux-Nutzern, wird aber auch unter Windows häufig genutzt. Bis jetzt waren Makroviren nur das Schicksal von MS Office, doch auch StarOffice bietet eine ziemlich mächtige Scriptsprache und so wollten die Virenschreiber zeigen, dass nicht nur Microsoft-Programme Nährboden für Schädlinge sein können. Also erblickte der Virus StarDust das Licht der Welt. In Wirklichkeit ist StarDust nicht ganz ein Virus, eher ein Trojaner, doch dadurch ändert sich sein Wesen nicht – und noch ein populäres Produkt muss nun als virengefährdet eingestuft werden.
Das gefährlichste Konzept dieses Quartals ist jedoch zweifellos der Wurm Yamanner, einer der markantesten Vertreter einer ganz kleinen Klasse von Würmern, die eine einzigartige Verbreitungsmethode nutzen. Hier gibt es so wenige Vertreter, dass jeder von ihnen als technologische Neuheit angesehen werden kann, und praktisch alle sofort weit verbreitet und zu bedeutenden Ereignissen werden.
Die Rede ist von Würmern, die Schwachstellen und Fehler in Script-Engines verschiedener populärer Web-Ressourcen ausnutzen – in kostenlosen Postsystemen oder Bloggern. Für ihre Arbeit ist ein Eindringen in den Computer des Nutzers nicht erforderlich. Ihr Code muss nur aktiviert werden, entweder beim Lesen einer Mail im Browser oder beim Besuch irgendeiner Seite, auf der sich der Code befindet. Praktisch alle beruhen auf der Ausnutzung der Schwachstelle Cross-Site Scripting. Dieses Prinzip wendete auch der Wurm an, der im Interface des russischen E-Mail-Onlinesystems Mail.Ru sein Unwesen trieb. Auf genau der gleichen Schwachstelle beruht auch der Wurm SpaceHero, der im Oktober 2005 Millionen von Tagebüchern auf der populären Bloggersite MySpace infizierte.
Im Juni 2006 wurden fast 200 Millionen Nutzer des E-Mail-Systems YahooMail zu potenziellen Opfern eines ähnlichen Wurms: Yamanner ist bemerkenswert, da er zur Aktivierung des schädlichen Codes vom Nutzer keinerlei Aktionen fordert, außer dem Öffnen einer Mail im Web-Interface YahooMail. Wenn der Nutzer den Brief öffnet, wird ein Script ausgeführt, dass den Wurm an alle Adressen aus dem Adressbuch des Nutzers verschickt, in denen die Domänen @yahoo.com oder @yahoogroups.com enthalten sind. Außerdem öffnet sich die eingestellte Webseite (die momentan nicht funktioniert) und das Adressbuch des infizierten Accounts wird an den eingestellten Server geschickt.
Fast alle Nutzer von YahooMail unterlagen dieser Gefahr, außer denjenigen, die ihre Mails per POP3 über einen eigenen E-Mail-Client (zum Beispiel Outlook) öffneten. Da der Wurm in JavaScript geschrieben wurde, das von allen vollfunktionalen Browsern unterstützt wird, spielt der Browser bei seiner Verbreitung keine Rolle.
Der einzige effektive Schutz vor derartigen Würmern ist das vollständige Ausschalten von Scripten im Browser. Das jedoch macht die Nutzung des Web-Interfaces YahooMail unmöglich. Yahoo unternahm Maßnahmen zum Filtern von E-Mails, die diese Schwachstelle nutzten, verbesserte den Interface-Service und empfahl den Nutzern, stärker auf die neue Testversion des E-Mail-Programms von Yahoo - Yahoo Mail Beta – überzugehen.
In der Tat kann sich die Geschichte erneut mit einem beliebigen anderen populären Online-Service wiederholen. Potenziell gefährdet ist jeder beliebige Mail-Service, der auf einem Web-Interface beruht (etwa Google Mail). Die Funktion eines beliebigen JavaScript-Virus oder -Wurms ist nur durch die Anzahl von Patches eingeschränkt, die im System installiert sind, und zu einem beliebigen Zeitpunkt kann sie sich auf Kosten der Entdeckung einer neuen Schwachstelle erweitern. Denn Fehler in der Programmierung, wie sie zu den Cross-Scripting-Schwachstellen führten, passieren immer wieder.
Die Grenze zwischen Personalcomputer und Internet-Ressourcen ist schon lange verwischt. Auf Ihrem Computer braucht kein Virus installiert sein und trotzdem können Sie an der Verbreitung eines Wurms beteiligt sein, indem Sie einfach auf Ihr Online-Tagebuch gehen oder E-Mails online lesen. Darin besteht eine der Hauptgefahren der Zukunft, die besonders mit der Entwicklung von Web 2.0 verbunden ist.