,-----> w w w . K e f r e n s . d e <-----, | | ;_.-._,-[SnakeByte's Viren FAQ 1.1]-,_.-._; | | '--* w w w . K r y p t o C r e w . d e *--' Disclaimer: Um nicht immer die gleichen Mails und Fragen beantworten zu müssen ist hier eine kleine FAQ. Falls ihr dennoch weitere Fragen habt, mailt sie mir an: SnakeByte@kryptocrew.de Ach ja, die Fragen sind in der Reihenfolge geordnet, in der ich sie gestellt bekommen habe, also versucht nicht ein Schema zu erkennen.. :) Auch ist keine der hier enthaltenen Informationen dazu gedacht zu Straftaten anzuregen oder diese zu verharmlosen. Ich bin auch nicht dafür verantwortlich was ihr mit den hier enthaltenen Informationen anfangt. Index: 01.) Was sind Viren ? 02.) Was sind Würmer ? 03.) In welcher Sprache werden Viren geschrieben ? 04.) Kann ich mich nur durch den download eines infizierten Programmes selber infizieren ? 05.) Sind alle Viren destruktiv ? 06.) Können Windows/Dos/Linux Viren auch unter Windows/Dos/Linux Schaden anrichten ? 07.) Gibt es Viren für Linux/Mac/OS2/.. 08.) Wo bekomme ich Info's über das Schreiben von Viren ? 09.) Wie entferne ich [Name des Virus] ? 10.) Kannst du mir beibringen wie man Viren schreibt ? 11.) Was sind Hoax Viren ? 12.) Was für Viren Arten gibt es ? 13.) Wie groß ist ein Virus ? 14.) Wie bemerke ich, das ich von einem Virus infiziert worden bin ? 15.) Was mache ich, wenn der Virenscanner den Virus nicht findet ? 16.) Welchen Sinn macht es Viren zu schreiben ? 17.) Gibt es Viren/Trojaner, die die Antivirenprogramme nicht finden ? 18.) Wo finde ich Informationen über Viren ? 19.) Wie erkennt ein Virenscanner Viren ? 20.) Was bedeutet Virii ? 21.) Was heist VX ? 22.) Was ist der EICAR Test ? 23.) Taugen diese Programme zum Virus erstellen etwas ? 24.) Was sagt das Gesetz zu Viren ? 25.) Welcher Virus war bisher der Verheerendste? 26.) Kann man einen Computervirus mit einem organischen Virus gleichstellen ? 27.) Was machte Melissa so gefährlich? 28.) Was ist eine Ableitung/Variante/Hack eines Virus ? 29.) Wie kann sich ein Virus verbreiten ? 30.) Was machte den Boot-Virus so gefährlich ? 31.) Kann der Virus z.B. den Scanner/Printer/ZIP-Drive verrückt spielen lassen ? 32.) Was ist ein Payload ? 33.) Welchen Höchstschaden kann ein Virus anrichten!! 34.) Was ist der Unterschied zwischen einem Virus und einem Trojaner ? 35.) Was ist die Wildlist ? 36.) Kann ich mich durch das lesen einer E-Mail mit einem Virus infizieren ? 37.) Wo sehe ich welche Virenarten im Umlauf sind ? 01.) --- F: Was sind Viren ? A: Viren sind Programme, die sich an andere Programme anhängen und sich dadurch vermehren. 02.) --- F: Was sind Würmer ? A: Würmer sind Programme, die sich über das Internet verbreiten, in dem sie sich zum Beispiel an E-Mail anhängen oder IRC Clienten infizieren (mIRC, Pirch, Virc). 03.) --- F: In welcher Sprache werden Viren geschrieben ? A: Meistens in Assembler oder Macroscript. Es ist aber in fast allen Sprachen möglich einen Virus zu schreiben, auch wenn es in vielen Sprachen Unsinn ist... ;) 04.) --- F: Kann ich mich nur durch den Download eines infizierten Programmes selber infizieren ? A: NEIN ! Damit der Virus aktiv wird, muss man die infizierte Datei ausführen, bzw das Word Dokument öffnen. Ihr könnt also Viren gefahrlos downloaden, entzippen, kopieren und alles was euch sonst noch einfällt. Solange ihr sie nicht ausführt, seid ihr sicher. 05.) --- F: Sind alle Viren destruktiv ? A: Nein, im moment ist die Tendenz sogar eher so, den Virus so wenig destruktiv wie möglich zu gestalten. 06.) --- F: Können Windows/Dos/Linux Viren auch unter Windows/Dos/Linux Schaden anrichten ? A: Natürlich nicht. Viren verhalten sich da wie alle anderen Programme auch, sie laufen nur auf dem System, auf dem sie programmiert wurden. Die einzige Ausnahme bilden hier Macro-Viren. Da sie keine Prozessorbefehle beinhalten, sondern Macrocode für das jeweilige Programm, sind sie nicht auf ein bestimmtes System sondern auf das jeweilige Programm angewiesen (Word, Powerpoint, CorelDraw...) 07.) --- F: Gibt es Viren für Linux/Mac/OS2/.. A: Ja.. auch wenn die meisten Viren für den Dos-PC geschrieben wurden. Doch die Systeme Win9x und Linux scheinen im Moment das größte Interesse unter den Virusschreibern zu wecken. 08.) --- F: Wo bekomme ich Info's über das Schreiben von Viren ? A: Am besten du besorgst dir V-DAT die ultimative Virentutorialsammlung von 'http://www.xs4all.nl/~cicatrix'. Diese Sammlung enthält die meisten Tutorials (leider nur Englische). Für deutsche Tutorials mal bei www.Kryptocrew.de schaun ;P 09.) --- F: Wie entferne ich [Name des Virus] ? A: Mit nem guten Virenscanner... hier ein paar URL's der Teile: MCAfee - www.MCAFEE.com AVP - www.AVP.com NAV - www.SYMANTEC.com FProt - www.datafellows.com/f-prot/ TBAV - www.Thunderbyte.com IRIS AV - www.irisav.com Sophos - www.sophos.com 10.) --- F: Kannst du mir beibringen wie man Viren schreibt ? A: Nein ! Ich kann dich mit Tutorials überschütten, die du liest und dann kannst du mir gezielt Fragen stellen. Ich setzt mich aber nicht 60 Std mit dir in's IRC und erklär dir ALLES ! (ausser du bezahlst dafür *G* ) 11.) --- F: Was sind Hoax Viren ? A: Hoax Viren sind Nachrichten, die vor angeblichen Viren warnen und die den kleinen Beitrag haben, 'schick mich weiter an alle die du kennst' oder sowas ähliches. Diese 'Viren' verbreiten sich also durch die Dummheit der User und sind nicht gefährlich. 12.) --- F: Was für Viren Arten gibt es ? A: Es gibt erstmal Viren für unterschiedliche Dateitypen und Systeme: DOS - COM DOS - EXE DOS - BAT DOS - OBJ DOS - SYS WIN - NE - EXE (3.1) WIN - PE - EXE (9x + NT) WIN - SCR ( PE-EXE ) Linux/Unix - ELF Linux/Unix - Shell Script JAVA - JAVA IRC - SCRIPT DATEIEN WORD - DOC CorelDraw - CDR Dies ist nur ein kleiner Ausschnitt, es gibt natürlich noch Arten für OS2, den Atari, C64, MAC, andere Macroscripte usw.. Die meisten Viren infizieren nur 1 bis 2 dieser Dateitypen, da es nicht praktisch ist, nen DOS Virus zu schreiben der auch unter Linux läuft.. (es geht, ist aber nicht die Mühe wert.. der Virus besteht dann aus 2 Teilen und je nachdem, welches Opfer man findet, wird ein Teil als Ausführbares angehängt und der andere als Datenteil.) Dann können Viren verschiedene Fähigkeiten haben, die auch noch die Art bestimmt: Stealth - Verstecken vor dem OS und Anti-Viren Programmen AntiBait - Überprüfen der Dateien vor dem Infizieren auf AV-Köder Eigenschaften Polymorphie - Der Code ändert sich komplett bei jeder neuen Infection Anti-Debugging - Der Virus enthält Teile, die es schwerer machen ihn zu debuggen/disassemblen Verschlüsselung - Ein Teil des Virus ist verschlüsselt, damit der Virus nicht allzu auffällig bei Scans ist. Anti-Heuristic - Der Virus ist so programmiert, das ein AV Programm nicht sieht, das es ein Virus ist. Anti-Removal - Der Virus enthält Code, der es erschwert ihn zu entfernen. TSR / Resident - Der Virus nistet sich im Speicher ein und infiziert alle angesprochenen Dateien. Boot - Der Virus versteckt sich im Bootsektor und ist dadurch nach dem Starten des Rechners direkt aktiv. Anti-AV - Der Virus greift aktiv Anti-Viren Programme an. Archiv Infector - Der Virus kann ZIP oder andere Archive öffnen und die enthaltenen Dateien infizieren. Kompanion Virus - Diese Viren Art ersetzt die Originaldatei durch sich selbst, speichert das Original aber unter einem anderen Namen, und führt es nach der eigenen Ausführung aus. EPO - Entry Point Obscurity. Eine recht neue Technik, die in win32 viren den call zu einem bestimmten API durch sich selbst ersetzt, was Emulation verhindert bzw. erschwert. Retro Virus - Viren dieser Art greifen gezielt bestimmte Anti-Viren Programme an Direkt Aktion - Solche Viren setzen sich nicht in den Speicher sonder infizieren sofort 13.) --- F: Wie groß ist ein Virus ? A: Die Größe reicht von 21 Bytes bis zu 10 KB's und mehr. Die Größe hängt von der Art des Virus und seinen Fähigkeiten ab. 14.) --- F: Wie bemerke ich, das ich von einem Virus infiziert worden bin ? A: Das System wird langsamer, Dateien werden größer, man sieht den Payload... ..der Virenscanner zeigt einen Virus an ;) 15.) --- F: Was mache ich, wenn der Virenscanner den Virus nicht findet ? A: Versuch erstmal noch einen zweiten Virenscanner oder schick einfach eine Datei, von der du glaubst, das sie infiziert ist an: evrt@avp.com virus_research_de@nai.com Oder besuch mal: http://www.symantec.com/avcenter/submit.html 16.) --- F: Welchen Sinn macht es Viren zu schreiben ? A: Gar keinen ? ;) Es macht einfach Spaß etwas zu coden, das ein System unter Kontrolle hat und sich über die Welt verbreiten kann. Man lernt durch Virii Coding auch viel über sein OS und den Aufbau der Executables. Außerdem gibt es in dem Bereich der Viren immer Neues zu erforschen, entwickeln und zu lernen. 17.) --- F: Gibt es Viren/Trojaner, die die Antivirenprogramme nicht finden ? A: Die Antivirenprogramme werden erst dann gefunden, wenn jemand den Virus durch irgendetwas bemerkt und an die AV-Firma schickt. Diese analysiert dann den Virus und erstellt ein Update für ihren Scanner. Dieser findet den Virus dann. Man kann ihn aber mit einigen Tricks noch 'unsichtbar' machen. Mit einem EXE-Crypter (PE oder MZ) gelingt es manschmal den heuristicscanner zu täuschen, so das er den Virus nicht erkennt. Er wird aber auf keinen Fall als der Originalvirus erkannt, höchstens als unbekannt (ausser der Crypter ist verdammt schlecht) Bei Trojanern klappt dies immer, da es für diese (noch?) keine heuristische Suchmethode gibt. Eine andere Möglichkeit ist der EXE-Joiner, wenn man ihn an einem Trojaner anwendet geht zum Beispiel AVP in die Knie und findet den Trojaner nicht mehr. *g* 18.) --- F: Wo finde ich Informationen über Viren ? A: Auf: www.avpve.com www.sophos.de/virusinfo/ www.symantec.com/avcenter/vinfodb.html www.irisav.com/lab/desc.htm www.cai.com/virusinfo/encyclopedia/ findet man eine gute Sammlung an Informationen über alle möglichen Viren (leider nur auf Englisch) 19.) --- F: Wie erkennt ein Virenscanner Viren ? A: Da gibt es mehrere Möglichkeiten. Die häufigste besteht darin alle Dateien oder Speicherbereiche mit einer Byte-Abfolge (Suchstring) zu vergleichen, die für einen bestimmten Virus typisch ist und in keinem normalen Programm vorkommt. Dabei können in dem String auch Wildcards (?,*) enthalten sein, so das auch Viren gefunden werden, die ihren Code leicht verändert (Polymorphe). Eine andere Möglichkeit (Heuristik) besteht darin gewisse Programmteile (Delta Offset Routine, '*.exe' / '*.com', Verschlüsselungsroutine...) zu suchen und wenn sie im Übermaß auftauchen wird die Datei als Infiziert gemarkt. Die Methode die zum Auffinden unbekannter Viren am Besten taugt ist die Emulation. Dabei wird jede Datei behandelt als ob sie ausgeführt werden würde, wenn man dann bei diesem Schein-Ausführen bemerkt das der Code der Datei an eine andere gehängt werden soll (oder ähnlich virentypisches Verhalten) wird sie als verdächtigt angezeigt. 20.) --- F: Was bedeutet Virii ? A: Virii ist Latein für Schleim/Gift, da man damals nicht mehr über Viren wusste und deshalb annahm das eine Krankheit durch Gift hervorgerufen wurde. Im Amerikanischen ist es aber zu einem Slang Ausdruck des Wortes Viruses geworden. Normalerweise bezeichnet man damit aber Computerviren. 21.) --- F: Was heist VX ? A: Eigentlich meint es Virus eXchange, also das Tauschen von Virus Executables gegen andere. Aber meistens verwendet man VX als bezeichnung für die gesamte Virus-szene. 22.) --- F: Was ist der EICAR Test ? A: Die EICAR Test Datei ist eine COM Datei, die nur folgendes enthält: (ohne die " am Anfang und Ende) "X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*" Ihr könnt diesen String direkt vom X an bis zum * kopieren und mit einem Text-Editor als .COM Datei speichern. Jeder Virusscanner sollte diese Datei dann entweder als Eicar Test Datei oder als Virus erkennen. Somit könnt ihr eueren Scanner testen. Wenn man die Datei so ausführt schreibt sie den Text 'EICAR-STANDARD-ANTIVIRUS-TEST-FILE!' auf den Schirm. Ist also auch ausführbar. 23.) --- F: Taugen diese Programme zum Virus erstellen etwas (VCL/VCK) ? A: Nicht wenn ihr damit nen vernünftigen Virus coden wollt. Wenn es euch darum geht etwas aus dem Code zu lernen den ein VCK oder VCL ausspuckt, dann schon, da sie einen verschiedene Wege zeigen wie man etwas in einen Virus implementieren kann. 24.) --- F: Was sagt das Gesetz zu Viren ? A: In Deutschland ist es so, daß man Viren schreiben und ihren Quellcode veröffentlichen darf. Man darf aber keinem einen Virus unterjubeln, da dies unerlaubte Veränderungen von fremden Daten sind. Man darf auch nicht dazu anstiften anderen Leuten Viren unterzuschmuggeln oder Viren sonstwie verbreiten. Also nur als Quellcode oder Binary mit ausdrücklicher Warnung, das es sich um einen Virus handelt und dieser nur zum Testen auf kontrollierten Systemen gedacht ist ! 25.) --- F: Welcher Virus war bisher der Verheerendste? A: Genaue Zahlen hab ich nicht, aber ich würde sagen der Internetwurm, der damals das gesamte Internet lahmlegte, Melissa, der vor kurzem einige Mailserver ausschaltete und CIH/Emporer und alle Varianten zählen wohl zu der Spitzengruppe dieser Viren. 26.) --- F: Kann man einen Computervirus mit einem organischen Virus gleichstellen ? A: Nur in begrenzter Art und Weise. Der Organische Virus ist zur selbständigen Mutation auch in größerem Ausmaße fähig, wobei beim Computervirus der Coder nachhelfen muss. Auch zerstört ein Organischer Virus jede Zelle die er befällt, was bei einem Computervirus nicht der Fall ist. Wer mehr dazu wissen will sollten von Rune Skardhamar, mal das Buch VIRUS Detection and Elimination lesen. 27.) --- F: Was machte Melissa so gefährlich ? A: Der Virus war fähig sich über E-Mails zu versenden, wodurch er sich schneller verbreitete als ein Suchstring für ein Gegenprogramm gefunden werden konnte. 28.) --- F: Was ist eine Ableitung/Variante/Hack eines Virus ? A: Die Variante ist zum Großteil wie der Originalvirus und enthält nur kleine Veränderungen, wie zum Beispiel Bugfixes oder geänderte Strings im Viruskörper. 29.) --- F: Wie kann sich ein Virus verbreiten ? A: Durch E-Mails oder infizierte Programme/Dokumente, die weitergegeben werden. 30.) --- F: Was machte den Boot-Virus so gefährlich ? A: Zu DOS Zeiten konnte sich ein Bootsektorvirus direkt beim Starten des Computers in den Speicher laden, wodurch er jedesmal aktiviert wurde. Da diese Art Viren auch meistens die Bootdisketten infiziert hatten, wurde ein 'sauberer' (ohne Virus im Speicher) Neustart unmöglich. 31.) --- F: Kann der Virus z.B. den Scanner/Printer/ZIP-Drive verrückt spielen lassen ? A: Klar, ein Virus kann alles, was normale Software auch kann ;) Es ist halt bei Hardware Payloads meistens etwas aufwendiger.. 32.) --- F: Was ist ein Payload ? A: Das ist der Effekt, der dem Benutzer zeigt, das er infiziert ist wie zum Beispiel das löschen von Daten, ne MSGBox, spielen eines Liedes oder eine kleine Animation.. 33.) --- F: Welchen Höchstschaden kann ein Virus anrichten!! A: Erstmal kann er alle Daten löschen, die auf den Platten gespeichert sind und zwar auch so, das keine Wiederherstellung möglich ist. Seit CIH kann man auch Hardware (Flash Bios) zerstören. In bezug auf das Internet kann ein Virus/Wurm durchaus einige Server stilllegen, da er sie überlastet. Was auch zu bedenken ist, ist der Imageschaden, der einem Betrieb durch Infektion mit einem Virus entstehen kann. Und der Arbeitsausfall, der entsteht, wenn man das System wiederherstellen muss. Wenn man nun noch bedenkt, das Viren auch Trojanerfunktionen enthalten können, ist der Schaden, den 1 Virus ausrichten kann immens. 34.) --- F: Was ist der Unterschied zwischen einem Virus und einem Trojaner ? A: Viren sind in der Lage sich selber zu vermehren und sich so zu verteilen, was Trojaner nicht können. Trojaner sind heutzutage meistens Programme, von denen ein Teil auf einem anderen Computer installiert wird, so das man mit dem anderen Programmteil den 'infizierten' Computer steuern kann. Im ursprünglichen Sinne ist ein Trojaner aber ein Program, das neben der gewünschten Funktion noch unbemerkt eine Andere (aber nicht die Vermehrung) ausführt. 35.) --- F: Was ist die Wildlist ? A: Dies ist eine Liste mit den Viren, die im Moment im Umlauf sind, also bei denen die Gefahr infiziert zu werden am größten ist. Ihr findet sie unter: www.wildlist.org oder www.icsa.net/services/consortia/anti-virus/wildlist/index.shtml 36.) --- F: Kann ich mich durch das lesen einer E-Mail mit einem Virus infizieren ? A: Mitlerweile JA ! Seit dem Visual Basic Script Virus Bubbleboy ist es möglich durch das reine Öffnen einer E-Mail sich mit einem Virus zu infizieren. Davon ist allerdings bisher nur das E-Mail Programm MS-Outlook betroffen. Bei allen anderen E-Mail Programmen besteht keine Gefahr. 37.) --- F: Wo sehe ich welche Virenarten im Umlauf sind ? A: Auf http://www.bsi.bund.de/antivir1/virenstatistik/vaus.htm