Vireninformationen
- Hacker
- Sasser
- Sober_I
- Sober_K
- Sober_L
Hacker, Cracker, Script Kiddies
In den Medien hört man immer öfter, dass Unbekannte in fremde Computersysteme eindringen und kurzzeitig die Kontrolle darüber übernehmen. Meist ist die Rede dann von Hackern.
Einfach zu erklären ist das mit den Hackern aber nicht. Denn im Gegensatz zu den Medien unterscheidet die Fachwelt (Die Abgrenzung zwischen Hackern und Crackern ist selbst in der Fachwelt sehr umstritten) zwischen Hackern und Crackern. Dabei sind Hacker Leute, die ziemlich viel Ahnung von Technik haben und in Systeme eindringen, um das System an sich zu verstehen. Übertragen auf ein Auto hieße das: Sie wollen eben nicht nur mit dem Auto fahren, sondern auch einen Blick unter die Kühlerhaube werfen und verstehen, wie so ein Auto fährt.
Wenn man so will, sind Hacker ganz schön neugierig. Solange sie dabei nur in Systeme eindringen, für die sie einen Zugriff haben, ist das aber kein Problem. Illegal werden Hacker erst dann, wenn sie ohne Berechtigung z. B. den Großrechner einer Uni hacken, um zu sehen, wie der funktioniert. Viele Hacker hacken einfach nur zum Spaß, ohne Schäden anzurichten. Hacker verändern nämlich niemals die Daten am Ursprungsort. Sie helfen sogar manchmal die Sicherheit des Internets zu verbessern, denn sie machen auf Schwachstellen oder Sicherheitsdefizite in Computernetzwerken aufmerksam.
Hacker, die im Auftrag von Firmen versuchen, Sicherheitslücken aufzuspüren, werden als "Penetrationstester" bezeichnet. Sie handeln legal, weil sie beauftragt werden und sich an Vorgaben halten, was mit den gewonnenen Erkenntnissen passiert. Außerdem sind sie abgesichert, wenn durch die Hackversuche Schäden entstehen.
"Böse" Hacker heißen Cracker. Diese Leute verstehen ihr Handwerk genau wie die Hacker. Allerdings dringen sie in fremde Systeme ein, um dort Schaden anzurichten. Sie löschen, verändern oder missbrauchen geschützte Datenbestände oder Programme. Durch solche Eingriffe können materielle Schäden in Millionenhöhe entstehen.
Die Medien treffen die Unterscheidung zwischen Hackern und Crackern in der Regel nicht. Dort ist die Rede von Hackern, egal um was es geht.
Und dann gibt es da noch die so genannten Script Kiddies. Die heißen Kiddies, weil es sich meistens um Kinder handelt. Script Kiddies wissen meist überhaupt nicht, was sie tun - halten sich selbst aber für Hacker. Im Gegensatz zu diesen verwenden sie jedoch ausschließliche vorgefertigte Computerprogramme, z. B. Computerviren oder Trojanische Pferde. Alle Skript Kiddies haben die gleiche Strategie: ziellos nach einer bestimmten Schwäche suchen und diese dann ausnutzen. Ohne Rücksicht auf Verluste. Das macht diese Angreifer besonders gefährlich. Oft wissen sie einfach nicht, welchen Schaden sie mit ihrem Verhalten anrichten können.
Informationen zum Wurm Sasser und seinen Varianten
Betroffene Produkte
| . | Microsoft Windows® XP und Windows XP Service Pack 1 |
| . | Windows 2000 Service Pack 2, Windows 2000 Service Pack 3 und Windows 2000 Service Pack 4 |
Nicht betroffene Produkte
| . | Windows XP 64-Bit Edition Version 2003 |
| . | Windows Server 2003 |
| . | Windows XP 64-Bit Edition Service Pack 1 |
| . | Windows Millennium Edition |
| . | Windows 98 Second Edition |
| . | Windows 98 |
| . | Windows NT 4.0 Service Pack 6a |
Microsoft bestätigt Berichte, nach denen sich der Wurm Sasser (W32.Sasser.A und seine Varianten) derzeit im Internet verbreitet. Der Wurm nutzt eine Sicherheitsanfälligkeit in den oben unter "Betroffene Produkte" aufgeführten Windows-Versionen aus, die im Zusammenhang mit dem Local Security Authority Subsystem Service (LSASS), einem Dienst des Betriebssystems, steht. Zur Beseitigung der LSASS-Sicherheitsanfälligkeit steht ein Sicherheitsupdate zur Verfügung, das mit dem Microsoft Security Bulletin MS04-011 am 13. April 2004 veröffentlicht wurde. Führen Sie folgende Schritte aus, um sich gegen Sasser und seine Varianten zu schützen, oder Sasse von Ihrem PC zu entfernen:
Auf dieser Seite
Schritt 1: Aktivieren Sie eine Firewall
Schritt 3: Überprüfen Sie Ihren Computer auf eine Infektion und entfernen Sie Sasser
Schritt 5: Schützen Sie Ihren PC
Schritt 1: Aktivieren Sie eine Firewall
Bevor Sie irgendeinen anderen Schritt unternehmen, stellen Sie sicher, dass auf Ihrem Computer eine Firewall aktiviert ist, die diesen vor einer Infektion schützt. Falls Sie für Ihre Internetverbindung zu Hause oder im Firmennetzwerk eine Hardware-Firewall verwenden, wird der Wurm mit großer Wahrscheinlichkeit blockiert. Dies gilt auch, wenn Sie die in Windows XP integrierte Internetverbindungsfirewall nutzen. Falls Ihr Computer bereits infiziert ist, sorgt das Aktivieren der Firewall dafür, dass die Auswirkungen des Wurms eingeschränkt werden. Eine umfassende Anleitung zur Installation und Aktivierung von Firewalls finden Sie auf der Webseite Schützen Sie Ihren PC in 3 Schritten.
Schritt 2: Installieren Sie das erforderliche Update
Um Ihren Computer vor dem Wurm Sasser und seinen Varianten zu schützen, installieren Sie das Sicherheitsupdate MS04-011 (835732)
Bei einer Einwahlverbindung (z.B. Modem): Herunterladen und Installieren des einzelnen Updates
Wenn Sie Microsoft Windows® XP oder Windows XP Service Pack 1 einsetzen, laden Sie das Sicherheitsupdate MS04-011 hier herunter und installieren Sie es..Wenn Sie Windows 2000 Service Pack 2, Windows 2000 Service Pack 3 oder Windows 2000 Service Pack 4 einsetzen, laden Sie das Sicherheitsupdate MS04-011 hier herunter und installieren es.
Falls Sie nicht wissen, welches Betriebssystem auf Ihrem Computer ausgeführt wird, klicken Sie hier. Bei einer Breitband-Verbindung (z.B. DSL): Gehen Sie auf Windows Update um alle noch nicht installierten Sicherheitsupdates herunterzuladen und zu installieren (Berücksichtigen Sie bitte, dass hier immer die Updates automatisch installiert werden, die für Ihre Windows Version relevant sind. Möchten Sie lediglich gezielt für Windows XP oder Windows 2000 das Sicherheitsupdate MS04-011 (835732) herunterladen, behelfen Sie sich bitte mit den angegebenen Links oben unter "...Einwahlverbindung"). Hinweis: Wenn Sie das Sicherheitsupdate MS04-011 (835732) vor dem 30. April 2004 auf Ihrem Computer installiert haben, sind Sie vor einer Infektion durch Sasser geschützt.
Schritt 3: Überprüfen Sie Ihren Computer auf eine Infektion und entfernen Sie Sasser
Microsoft stellt ein kostenfreies Tool zur Verfügung, das Ihren Computer automatisch auf eine Sasser-Infektion hin untersucht und den Wurm von Ihrem System entfernt. Downloaden Sie dieses "Sasser.A and Sasser.B Worm Removal Tool" (englischsprachig) und führen Sie es aus.Wenn Sie glauben, dass Ihr Computer infiziert ist und Sie die gerade beschriebenen Schritte nicht ausführen konnten, drucken Sie das Dokument aus, das Sie hier finden, um dann die beschriebenen Schritte durchzuführen. Schritt 4: Nutzen Sie weitere technische RessourcenFalls das oben genannte Tool auf Ihrem Computer nicht funktioniert, besuchen Sie die Website des von Ihnen bevorzugten Herstellers von Antivirensoftware und verwenden Sie das dort angebotene kostenlose Cleaning-Tool:. Computer Associates. F-secure. Network Associates. Norman . Panda . Sophos . Symantec . Trend Micro
Schritt 5: Schützen Sie Ihren PC
Erfahren Sie, wie Sie Ihren Computer wirksam gegen eine Vielzahl von Bedrohungen absichern können. Treffen Sie die unter dem nachfolgenden Link beschriebenen Vorsichtsmaßnahmen, um Ihren Computer auch gegen zukünftige Würmer- und Virenattacken zu schützen:
Sober.IW32/Sober-I ist eine Variante aus der W32/Sober-Massmailing-Wurmfamilie für die Windows-Plattform, der E-Mail-Adressen in Dateien mit folgenden Erweiterungen aufspürt: PMR STM SLK INBOX IMB CSV BAK IMH XHTML IMM IMH CMS NWS VC CTL DHTM CGI PP PPT MSG JSP OFT VBS UIN LDB ABC PST CFG MDW MBX MDX MDA ADP NAB FDB VAP DSP ADE SLN DSW MDE FRM BAS ADR CLS INI LDIF LOG MDB XML WSH TBB ABX ABD ADB PL RTF MMF DOC ODS NCH XLS NSF TXT WAB EML HLP MHT NFO PHP ASP SHTML DBX Wenn er ausgeführt wird, zeigt W32/Sober-I eine gefälschte Fehlermeldung mit dem Titel "WinZip Self-Extractor" und der Meldung "WinZip_Data_Module is missing ~Error:..." an. Gleichzeigt erstellt er folgende Dateien im Windows-Systemordner, von denen einige zum Speichern der aufgespürten Daten verwendet werden und andere verschlüsselte und/oder gepackte Wurmkopien sind: Odin-Anon.Ger (dabei enthalten die text-ascii-Dateien eine mit base64 kodierte, verschlüsselte ZIP-Kopie des Wurms und die win-pack-hackupx-Dateien eine mit UPX gepackte Version des Wurm). W32/Sober-I kopiert sich als EXE-Datei in den Windows-Systemordner, wobei er einen Namen benutzt, der aus folgenden Zeichenfolgen zusammgesetzt ist: sys, host, dir, expolrer, win, run, log, 32, disc, crypt, data, diag, spool, service,smss32 Damit er beim Windows-Start automatisch aktiviert wird, erstellt W32/Sober-I die folgenden Registrierungseinträge: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\<zufälliger Name> = (wobei <zufälliger Name> eine Zeichenfolge aus der oben genannten Liste ist und <zufälliger Dateiname> dem Dateinamen der Wurmkopie entspricht.) HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\MSAntiVirus = (wobei <Dateiname> mit der gerade ausgeführten Datei übereinstimmt.) W32/Sober-I überprüft das Ursprungsland, indem er die Domänenerweiterungen mit folgender Liste vergleicht: .de, .ch, .at, .li, .gmx Sollte die Domänenerweiterung mit einer deutschen Variante übereinstimmen, wird in der E-Mail die deutsche Sprache verwendet, ansonsten ist die E-Mail auf englisch. W32/Sober-I kann in einer E-Mail mit folgenden Merkmalen versendet werden: Betreffzeile: zusammengesetzt aus: FwD: Text (Englisch): anhängig von der Betreffzeile Text für Betreffzeile 'Oh God': I was surprised, too! Text für Nicht-Zustellbar-Betreffzeile: zusammengesetzt aus: This mail was generated automatically. <zufällige ip><zufällige Fehlermeldung1> The original mail is attached. Auto_Mail.System: [<zufälliger Name>] <möglicherweise gefälschte Antiviren-Meldung> Mögliche Fehlermeldungen 1: _does_not_like_recipient. Mögliche Fehlermeldungen 2: This_account_has_been_discontinued_[#144]. Gefälschte Antiviren-Meldung: *-*-* Mail_Scanner: No Virus Text (deutsch): ausgewählt aus: Text 1: zusammengesetzt aus: Diese E-Mail wurde automatisch generiert. Folgende Fehler wurden aufgezeichnet: STOP mailer The original mail is attached. Auto_Mail.System: [<zufälliger Name>] <möglicherweise gefälschte Antiviren-Meldung> Mögliche Fehlermeldung 1: Remote_host_said: _Requested_action_not_taken Mögliche Fehlermeldung 2: mailbox_unavailable Gefälschte Antiviren-Meldung: Anti_Virus: Es wurde kein Virus gefunden Text 2: zusammengesetzt aus: Da Sie uns Ihre Persoenlichen Daten sugesandt haben ist das Password ***** Im I-Net unter: http://www.<zufällige URL> Text 3: zusammengesetzt aus: Aus Datenshutzrechtlichen Gruenden darf die vollstaendige E-Mail incl. Daten da unsere Datenbank leider durch einen Programm Fehler zerstoert wurde, Weitere Informationen befinden sich im Anhang dieser Mail. Die angehängte Datei kann eine der folgenden Erweiterungen haben: ZIP, PIF, SCR, BAT, COM. |
Popo von Paris Hilton inspiriert Hacker
Der nackte Hintern von Paris Hilton kursierte dieser Tage tatsächlich für einige Stunden im Internet.
Anstatt nackten Tatsachen gibt es per Email einen Wurm.
In ihrem gehackten Handy hatte die freizügige Millionenerbin nämlich nicht nur die Telefonnummern hunderter Promis gespeichert, sondern auch ein paar brisante Fotos: Paris barbusig in inniger Umarmung mit MTV-Moderatorin Eglantina Zingg oder auch Paris mit nacktem Hintern. Die Fotos sind inzwischen nicht mehr im Netz, doch allein die Aufregung darum kommt der Hacker-Szene zu Gute. Nach Angaben von Sophos kursieren seit neuestem die beiden Würmer W32/Sober-K und W32/Ahker-C. Beide versprechen die besagten Nacktaufnahmen und kommen mit der Betreffzeile "Paris Hilton download it!" daher. Beim Öffnen wird der Schädling aktiviert, der sich automatisch an alle Adressen aus dem Outlook-Verzeichnis verschickt.
Der Paris-Wurm verbreitet sich nach Sophos-Angaben - es wundert kaum - rasend schnell. Zur Frage, wie das Handy von Paris Hilton überhaupt gehackt werden konnte, steht inzwischen übrigens fest: Der Hund war's. Denn beim Verlustfall stellt T-Mobile - ähnlich vielen anderen Diensten - eine vom Nutzer festgelegte Frage, um an das Passwort zu erinnern. Paris Hilton hat dafür offenbar die einfallsreiche Standardfrage "Wie heißt ihr Lieblingstier?" gewählt. Dass der Schosshund Tinkerbell heißt, ist kein Geheimnis - ebenso wenig wie seit Neuestem die nackten Kurven des Frauchens.
Warnung vor Worm.Win32.Sober.L! Eine neue Variante des Sober Wurms verbreitet sich derzeit schnell. Wie auch schon seine Vorgänger verbreitet sich Sober.L indem er sich selbst als Email-Anhang an diverse Email Adressen verschickt, die er auf der Festplatte des infizierten Computers findet. Obwohl die angehängte ausführbare Datei als .ZIP Datei gepackt ist, öffnen viele unvorsichtige Nutzer diese und starten so den Wurm. Für wenig versierte Anwender ist der Wurm schwer zu erkennen, da die Email den Betreff "ich habe ihre e-mail bekommen !" trägt. Der Email-Text tarnt sich ebenso irreführend:Hallo, |
©2008 Gerhard Meier - ALLE RECHTE VORBEHALTEN - |
Stand: |
09/12/2012 7:59 |