Tag Archiv für Computervirus

Wie kann man einen Trojaner sicher entfernen?

Trojaner sind Schadprogramme, die wie ein Trojanisches Pferd die Malware durch die Hintertür einschleusen und dann Schaden auf dem Rechner verursachen, häufig innerhalb von Spielen, halb- und illegalen Filmprogrammen oder als E-Mail-Anhang. » Weiterlesen

Server Monitoring

Für viele Projekte im Internet werden inzwischen eigene Server gemietet. Die steigenden Leistungen und gleichzeitig sinkenden Preisen machen eine Anschaffung von eigenen Rootservern schließlich zu einer guten technischen Grundlage für Webseiten und Onlineshops. Allerdings ist der Besitz eines eigenen Servers in vielen Fällen ein Risiko. Hacker, Cracker und andere kriminelle Gruppierungen kapern Server gerne, auch unbemerkt, um sie für Straftaten zu nutzen. Daher ist es ungemein wichtig beispielsweise mit Server Monitoring den eigenen Server nicht aus den Augen zu lassen.

Server-Monitoring nutzen, um die Maschine zu prüfen

Der eigene Webserver ist für unterschiedliche Anwendungen das richtige Gerät. Hier können intensive Projekte im Web realisiert, Gameserver aufgesetzt und natürlich auch Streamingdienste realisiert werden. Wer einen Webserver sein Eigentum nennt, wird allerdings auch den Aufwand für die Erhöhung der Sicherheit kennen. Aktuelle Software ist wichtig, denn bereits ein unachtsamer Moment kann bedeuten, dass der Server von fremden Individuen gekapert wird. Manchmal geschieht dies, ohne das der Besitzer es überhaupt merkt. Eine externe Überwachung der Dienste auf dem Webserver kann dabei helfen, solche Risiken zu erkennen und entsprechende Maßnahmen einzuleiten. Das Monitoring beobachtet den genauen Datenfluss vom Server und überprüft in regelmäßigen Abständen Dinge wie offene Ports oder den genauen Status der wichtigsten Dienste auf dem Webserver. Der Dienst hilft also bei der Überwachung und gibt dem Besitzer die einmalige Möglichkeit auf Gefahren zu reagieren, kurz nachdem sie aktiv geworden sind. Und entsprechende Software ist im Internet einfach zu erhalten.

Die richtige Software für das Monitoring finden

Bei der Realisierung von Monitoring für den eigenen Server gibt es unterschiedliche Möglichkeiten. Es können sowohl Software auf dem Desktop installiert werden, die dauerhaft mit dem Gerät kommuniziert, als auch Dienste aus dem Internet für solche Zwecke genutzt werden. Der Dienst aus dem Netz ist dabei wohl am effektivsten. Durch die dauerhafte Verbindung zu den Diensten auf dem Webserver kann schnell bei einem entsprechenden Fall benachrichtigt werden. Verhält sich der Dienst anders, als man es erwarten würde, wird der Benutzer über SMS als auch über E-Mail benachrichtigt. Er kann dann die entsprechenden Probleme überprüfen und im Fall der Fälle Gegenmaßnahmen einleiten. Das erhöht die Sicherheit von Webservern nachhaltig und gibt dem Besitzer die Sicherheit im Umgang mit den anspruchsvollen Datengeräten im Netz.

Antivirus Software

Eine Antivirus Software ist zu Zeiten von schädlichen Viren und Würmern ein absolutes Muss für jeden, der das Internet nutzen möchte. Bereits beim Betreten einer Seite, dem Laden eines Bildes oder dem Öffnen einer Nachricht können gefährliche Schädlinge auf dem eigenen Rechner installiert und Dateien geschädigt werden. Hierbei bieten Antivirenprogramme einen wirksamen und effektiven Schutz. Es handelt sich dabei um eine spezielle Software, mit deren Hilfe Viren, Würmer, sowie Trojanische Pferde aufgespürt, gesperrt und je nach Möglichkeit auch entfernt werden können. Antivirenprogramme werden oftmals auch Virenscanner oder Virenschutz genannt.

Die Antivirus Software besteht im Normalfall aus drei verschiedenen Teilen: dem grundlegenden Antivirus-Programm, dem Scanprogramm und der Virusdefinition. Das Antivirus-Programm stellt die sogenannte Benutzerschnittstelle dar und steuert die weiteren Komponenten der Antivirus Software. Es bestimmt dabei die Art und Weise, wie das Scanprogramm nach vorhandenen Schädlingen zu suchen hat. Die zu findenden Viren sind dabei wiederum in der Virendefinition beschrieben. Da sich das Repertoire an schädlichen Viren täglich erweitert, müssen die Virendefinitionen, sowie das Scanprogramm regelmäßig erneuert werden, um einen gleichbleibend hohen Schutz vor Schädlingen gewährleisten zu können. Das Antivirus-Programm kann jedoch langfristig beibehalten werden.

Oftmals stellt sich dem Nutzer die Frage, was genau nun der Unterschied zwischen der Antivirus Software und der sogenannten Firewall ist. Die Antwort ist recht simpel: Es gibt keinen Unterschied. Die Firewall und die Antivirus Software sind zwei grundlegend verschiedene Anwendungen, die jedoch beide programmiert wurden, um den Rechner vor unbefugtem Zugriff zu schützen. Während das Antivirenprogramm dafür sorgt, dass Viren, die den Rechner infizieren und somit schädigen können, erkannt und in Quarantäne verschoben, beziehungsweise gelöscht werden, so verhindert die Firewall den unbefugten Zugriff auf das System von außen. Mit ihrer Hilfe kann der Nutzer angeben, welcher Software der Zugriff auf das Internet gestattet ist. Die Firewall und das Antivirus Programm stechen sich somit nicht gegenseitig aus, sondern ergänzen sich zu einem umfassenden und wirkungsvollen Schutz.

Firewall

Eine Firewall hat die Aufgabe, nur ausdrücklich zugelassene Formen der Kommunikation zu gestatten und alle anderen Netzwerkverbindungen zu blockieren. Ursprünglich handelte es sich bei Firewalls ausschließlich um separate Rechner, die den Zugang zu einem Netzwerk oder einem Computer überwachten. Heute sind auch Desktop Firewalls gebräuchlich, die auf dem zu schützenden Rechner selbst installiert werden. Dies bedeutet eine Abkehr von dem grundlegenden Prinzip, dass schädliche Verbindungen geblockt werden, bevor sie die zu schützenden Systeme erreichen. Damit geht ein Verlust an Sicherheit einher. Dennoch sind Desktop Firewalls insbesondere für private Rechner mit Internetverbindung dringend zu empfehlen.

Portnummern

Beim Aufbau einer Verbindung zu einem anderen Rechner wird neben der IP-Adresse des Zielrechners auch eine Portadresse verwendet. Dabei handelt es sich einfach um eine Zahl, aus der ersichtlich ist, zu welchem Zweck die Verbindung aufgebaut werden soll. Eine Internetverbindung via http ist beispielsweise an der Portnummer 80 erkennbar. Eine Firewall nutzt diese Portnummern, um erwünschte von unerwünschten Verbindungen zu unterscheiden. Das Regelwerk legt fest, auf welchen Ports ein- oder ausgehende Verbindungen erlaubt sein sollen. Was nicht ausdrücklich erlaubt wird, ist verboten und wird geblockt. Handelt es sich um eine Netzwerk Firewall, kann für jeden Rechner des Netzes ein anderes Regelwerk hinterlegt werden.

Ein Virenscanner ersetzt keine Firewall

Umgekehrt gilt dasselbe, ein Virenscanner ist also in jedem Fall zusätzlich erforderlich. Beide nehmen grundsätzlich unterschiedliche Aufgaben wahr. Die Firewall überwacht Ein- und Ausgang des Rechners, um unerlaubten Datentransfer in beide Richtungen zu unterbinden. Schädliche Software kann jedoch auch auf erlaubtem Weg auf den Rechner gelangen. Sind Downloads aus dem Internet zugelassen, kann die Firewall nicht erkennen, ob sich in den Downloads Viren oder andere schädliche Programme befinden. Daher ist ein Virenscanner in jedem Fall unerlässlich. Umgekehrt kann ein Virenscanner nicht alle Gefahren erkennen. Eine ausführbare Datei, die z.B. einen Befehl zum Datentransfer an einen bestimmten Zielrechner enthält, muss kein Virus sein und kann daher ausgeführt werden. Handelt es sich um einen unerwünschten Datentransfer, ist es Aufgabe der Firewall, diesen zu unterbinden.

Makroviren

Bei Makroviren handelt es sich um eine spezielle Form von Computerviren, die durch sogenannte Makros in einem unverdächtig erscheinenden Dokument eingebettet sind, der sogenannten Wirts-Applikation. Dabei kann es sich beispielsweise um eine Excel-, Word- oder eine OpenOffice-Datei handeln. Da Makroviren meist über Textverarbeitungsdokumente verbreitet werden, bezeichnet man sie auch als Dokumentenviren.

Bei Makroviren wird das versteckte Makro durch das Öffnen der infizierten Datei automatisch mitgestartet und beginnt unmittelbar mit der Infiltrierung der jeweiligen Software. Da es in der Regel selbst in einer Makrosprache geschrieben ist, beispielsweise in der gängigen Microsoft-Skriptsprache VBA, kann es erheblichen Schaden verursachen, insbesondere sich relativ schnell verbreiten. Dies betrifft besonders solche Makroviren, die gezielt Standardvorlagen einer Bürosoftware verändern können. Sie sind hierdurch in der Lage, künftig alle über einen attackierten Rechner neu erstellen Text- und Tabellendokumente systematisch zu infizieren.

Ein wesentlicher Unterschied zu anderen Virentypen ist die Tatsache, dass ein Makrovirus lediglich von der Wirts-Applikation, nicht aber vom jeweiligen Betriebssystem des Computers abhängig ist Somit kann sich ein Makrovirus auch auf Macintosh-Systemen verbreiten. Dies ist dann der Fall, wenn auf einem Mac-Rechner ein Microsoft-Officepaket verwendet wurde.

Makroviren werden also vor allem für weit verbreitete Bürosoftware, Grafikprogramme oder Präsentationssoftware geschrieben. Einfallstore für Makroviren sind dabei zumeist infizierte Dokumente, die beim Datenaustausch in Netzwerken oder per E-Mail-Anhang verbreitet werden. Hochwertige Antivirensoftware ist im Allgemeinen in der Lage, derartige Computerviren sofort zu erkennen. Sollte dennoch eine Infizierung gelungen sein, wird dies von Computernutzern meist durch plötzlich auftretende Probleme mit ihrer Bürosoftware wahrgenommen. Deren Dokumente lassen sich dann beispielsweise nur noch als Vorlagen speichern. Besonders drastisch bemerkbar kann sich eine Infizierung durch einen Makrovirus etwa auch durch ungewöhnlich klingende Fehlermeldungen bemerkbar machen.

Einer der bekanntesten Makroviren war der 1999 erstmalig aufgetretene Melissa-Virus. Dieser nistete sich über eine infizierte Doc-Datei in das E-Mail-Programm von Microsoft ein und verbreitete sich von dort massenhaft auf andere Computer.

Skriptviren

Wie alle Computervirentypen benötigen auch die Skriptviren ein Wirtsprogramm, welches in diesem Fall das namensgebende Skript ist. Ein Skript ist ein durch einen Interpreter schrittweise ausgeführtes Programm, das seine Anwendung am häufigsten auf Weberservern findet. Mit zusätzlich zu HTML oder XML verwendeten Skripten wie beispielsweise Perl, PHP oder das in Webseiten implementierte JavaScript, können Funktionen genutzt werden, die andernfalls nur mit der Unterstützung von anderen, auf dem Server ausführbaren Programmen zur Verfügung stünden. Foren, Gästebücher und dynamische Webseiten sowie Webmailer besitzen diese Skripte, die zumeist unabhängig vom Betriebssystem agieren.

Für die Ausführung eines Skripts wird ein sogenannter Interpreter benötigt. Ein Interpreter ist ein Programm, das die Programmiersprache der Skripte, die für den Menschen lesbar ist, in die vorgesehene Repräsentation übersetzt und ausführt. Handelt es sich hierbei um eine HTML-Datei, nutzen die Skriptviren diese als Wirtsdatei, indem sie sich in ihren Skriptbereich einschleusen oder einen solchen erzeugen. Der Skriptbereich eines HTML-Dokuments wird von nahezu allen Browsern geladen, um ausgeführt zu werden.

Doch nicht nur für die Webperformance, auch bei Betriebssystemen wie Mac-OS-X, Linux oder Unix kommen Skripte zur Automatisierung von Arbeitsprozessen zum Einsatz. MS-DOS und Windows sind gleichermaßen in der Lage, bestimmte Skripte zu verarbeiten und demnach ebenfalls potentielle Angriffsflächen für Skriptviren. Diese sind im World Wide Web jedoch seltener anzutreffen als in ihrem Entwicklungslabor und können sich im Unterschied zu Skriptviren in HTML-Dateien nur durch das Kopieren eines infizierten Skripts auf das Betriebssystem und anschließende Ausführen dieses einnisten.

Bootvirus

Bootvirus wird ein Virus genannt, der im Bootsektor verschiedener Medien residiert und aktiv wird, wenn von diesen Medien gebootet wird. Denn durch das Booten wird unmittelbar ausführbarer Code des Bootsektors ausgeführt, ohne dass ein weiterer Benutzerbefehl dazu gegeben werden muss.

Am bekanntesten war die Bootvirus – Verbreitung auf Disketten, ein bekanntes Beispiel dafür ist der Bootvirus Parity Boot in seinen Varianten A, B, C,D und E. Der Virus wurde unter anderem mit einigen Programmen von IBM ausgeliefert. Wenn der Computer von der Diskette bootete, was beim Start leicht passieren konnte, wenn die Diskette noch im Laufwerk war und die Bootreihenfolge auf Laufwerk A gestellt war, infizierte der Virus die Festplatte. Er versuchte dann eine Stunde lang, weitere Disketten zu infizieren. War dies nicht der Fall, zeigte er die Meldung “Parity Check” an und der Computer musste neu gestartet werden. Zudem überschrieb er einige Benutzerdaten in bestimmten Verzeichnissen.

Ein weiterer bekannter Bootvirus war Michelangelo, der programmiert war, am 6. März, dem Geburtstag Michelangelo Buanarottis aktiv zu werden.

Ein Bootvirus ist heute nicht mehr auf Disketten und Festplatten angewiesen, ebenso kann er von bootfähigen CDs, DVDs und USB-Sticks aus aktiv werden. Seit Disketten weniger in Gebrauch sind, nimmt die Verbreitung jedoch insgesamt ab, da CDs und DVDs nicht unmittelbar beschrieben werden können und USB-Sticks meist nicht zum booten benutzt werden.

Im Gegensatz zu einem Bootvirus werden andere Viren beispielsweise aktiv durch Internetseiten, die ActiveX verwenden, oder verbreiten sich durch ausführbare Programme in Anhängen von Emails. Einige Viren richten aktiv Schaden an den Daten des Benutzers an, während andere vollständig unbemerkt bleiben, den Computer aber zum Teil eines Botnets machen, das aus der Ferne gesteuert werden kann und zum Beispiel für Denial-of-Service-Attacken genutzt werden kann. Die Art ihrer Verbreitung macht Viren in Bootsektoren jedoch nicht an sich gefährlicher oder ungefährlicher, als andere Viren.