pcnews
Von:	Martin Weissenboeck [mweissen@ccc.at]
Gesendet:	Montag, 4. Januar 1999 08:58
An:	agtk@ccc.or.at
Betreff:	AGTK 99004: Spezialthema Viren
AGTK 99004: Spezialthema Viren. 04.01.99

Zum Thema "Viren" sind in den letzten Tage etliche Meldungen eingetroffen.
Hier eine Zusammenstellen:


Neue Virengeneration
Software-Virus sucht sich selbstaendig den Weg durch Netzwerke

Muenchen (pte) (22. Dezember 98/14:03) - Software-Viren haben immer den
Vorteil, dass sie vor dem Programm entstehen und daher einen gewissen
Zeitvorsprung haben, denn sie fuer ihre "Taten" nutzen koennen. Network
Associates http://www.nai.com hat nun den angeblich destruktivsten Virus
entdeckt, der sich selbstaendig seinen Weg durch Netzwerke sucht und Dateien
unbrauchbar macht. Aufgetaucht sei er in einem Netzwerk eines grossen
Unternehmens. Er installiert sich selbst als IE403R.SYS und als Anwendung
unter dem Namen Remote Explorer auf einem Windows NT Server, wenn man etwa
ein Attachment in der Email oeffnet oder eine Anwendung aus dem Netz auf den
Computer herunterlaedt, und emuliert die Zugriffsrechte des Administrators.
Er infiziert dann selbstaendig weiter zufaellig einzelne Rechner und
verschluesselt exe, txt und HTML Dateien.

Remote Explorer ist ein Virusgigant und besteht aus 120 kb Code, der in C
geschrieben wurde. Zum Schreiben der 50.000 Programmzeilen seien mindestens
200 Arbeitsstunden notwendig gewesen. Zur Ausbreitung nutzt der Virus vor
allem die Zeit zwischen 15 Uhr am Samstag und 6 Uhr am naechsten Sonntag.
Network Associates haben bereits einen Detektor fuer den Virus entwickelt,
der sich nur auf NT-Netzwerken verbreiten kann, nicht aber auf UNIX- oder
Novell-Systemen. Man arbeitet an einem Anti-Virus-Programm, um den Virus zu
entfernen und die verschluesselten Daten wieder herzustellen.

Man fuerchtet, dass Remote Explorer der erste einer neuen Generation von sehr
intelligenten und gefaehrlichen Computerviren sein koennte. (telepolis)



Doch keine neue Virengeneration?
INDIS: Remote-Explorer fuer PR-Geschichte missbraucht

Wien (pte) (26. Dezember 98/07:00) - Microsoft bewirbt sein
leistungsstaerkstes und auch teuerstes Betriebssystem Windows NT vor allem
mit seiner erhoehten Betriebssicherheit. Die wird jedoch durch einen neuen
Computervirus untergraben, der unter dem Namen "Remote Explorer" von sich
reden macht. pressetext.austria berichtete kuerzlich von dieser neuen
Virengeneration, die sich selbstaendig ihren Weg durch Netzwerke sucht und
Dateien unbrauchbar macht.
http://www.pressetext.at/show.pl.cgi?pta=981222014

Ing. Dieter Goeschler vom Institut fuer Datenschutz und Informationssicherheit
(INDIS) glaubt nun, dass es sich dabei um eine Zeitungsente handelt. Diese
von NAI verbreitete Geschichte erinnere in informierten Kreisen sehr an die
vor einigen Jahren prophezeite und von McAfee (McAfee ist heute Tochter der
NAI) in Umlauf gebrachte Geschichte der "Michelangelo-Katastrophe". Auch
damals war durch eine Meldung ueber den angeblich "gefaehrlichsten Virus" und
"5-10 Millionen infizierten Computern" ein Virus-Hype ausgebrochen, der nach
dem Weltuntergangstag X jedoch mehr den Propheten der Viruskatastrophe und
der beteiligten Presse Kopfzerbrechen machte, denn mit nur einer Handvoll
Schadensmeldungen weltweit war es nicht einmal ein Katastroephchen und schon
gar kein guter Dienst am Konsumenten.

Goeschler zufolge stimmt die Virusbeschreibung zwar in etwa, jedoch kann von
einer besonderen Intelligenz oder Neuartigkeit keine Rede sein.
Entsprechende Ausbreitungs-Funktionen existieren bereits seit Monaten in
anderen Viren. Man nennt diese Virus-Species "Backdoors" oder
"Malware-Programme". Das wirklich Besondere an "Remote-Explorer" sei seine
Groesse und die Tatsache, dass eine einzelne Virenschutz-Firma daraus eine
ebenso grosse Geschichte zu machen versucht. Offensichtlich investierte NAI
http://www.nai.com ihre Zeit eher in Presse-Berichte, waehrend erfolgreichere
Firmen bereits entsprechend funktionierende Gegenmittel in deren Produkte
integriert haben. INDIS arbeitet eng mit verschiedenen
Virenforschungsstellen zusammen. Info: goeschler@indis.at,
http://www.indis.at 



Entstehungsgeschichte eines Virus
Seit 25. Dezember ist "Remote Explorer" wieder "ganz normaler Virus"

Wien (pte) (28. Dezember 98/11:20) - Die Meldungen ueber den "Super-Virus
Remote Explorer" haben einigen Staub aufgewirbelt.
http://www.pressetext.at/show.pl.cgi?pta=981226002 Um die Geschichte bzw.
die Reaktionen darauf besser verstehen zu koennen, liefert pressetext.austria
einige zusaetzliche Hintergrundinformationen des Instituts fuer Datenschutz
und Informationssicherheit (INDIS). http://www.indis.at

Damit ein Virenschutz-Unternehmen erfolgreich (sowohl finanziell als auch
produkttechnisch) sein kann, benoetigt es neu aufgetretene Viren moeglichst
rasch zur Analyse. Deshalb arbeiten praktisch alle grossen AV-Firmen -
verbunden durch lockere Kooperationen - in der Virenbeschaffung zusammen -
nach dem Motto: "Geb ich dir einen neuen Virus von mir, bekomm' ich dafuer
das naechste Mal einen von dir". Diese Kooperationen sind in Fachkreisen
teilweise auch sehr bekannt (CARO).

NAI bzw. die Produkte der neu einverleibten AV-Firmen (McAfee und Dr.
Solomons) haben in den letzten Monaten sehr an Qualitaet und Image verloren.
Dies ist an den vielen Meldungen in einschlaegigen Newsgroups
nachzuvollziehen. Darueberhinaus hat NAI bei dem Uebernahmedeal von Dr.
Solomons die besten Leute der ehemals besten AV-Firma verloren. Auch die
Produkte haben damit sowohl organisatorisch (noch keine einheitliche
Updateregelungen) als auch qualitativ an Boden verloren. (Auch wenn NAI
weltweit immer noch den groessten Marktanteil hat.)

Es ist eine alte Taktik von McAfee, in etwas schwierigeren Zeiten (die man
in der Oeffentlichkeit jedoch kaum mitbekommt) durch *besondere* Meldungen
die Aufmerksamkeit auf andere Bereiche zu lenken bzw. sich wieder ins
Rampenlicht zu stellen. Der bekannteste Fall war eben die angekuendigte
"Michelangelo"-Katastrophe vor einigen Jahren.

Konkret verlief die Entwicklung des Remote Explorers so: Am 19.12. ging die
Meldung ueber den neuen Super-Virus raus. Zu diesem Zeitpunkt hatte kein
weiteres Forschungszentrum weltweit ausser NAI diesen Virus gesehen. Am
20.12. gingen die Anfragen bei NAI ein, warum der Virus nicht weitergegeben
werde. Die Aussage dort war, dass der Mitarbeiter, der den Virus analysierte,
gerade auf Urlaub gefahren sei und "sonst niemand" ein Sample dieses Virus
besitze. (Das koennte eine Schutzbehauptung gewesen sein, um nicht in
Konflikt mit den Kooperations-Vereinbarungen zu kommen und einige Tage Zeit
fuer Marketingaktivitaeten zu haben).

Auch hatte kein einziges Mitglied der CARO diesen Virus gesehen oder
analysiert, das war mehr als merkwuerdig. Bis 24.12. lang versuchten die
Forscher aus aller Welt, von irgendwoher diesen Vireus zu bekommen, um ihn
analysieren zu koennen, aber McAfee bedauerte nur, an das einzige vorhandene
Sample nicht heran zu kommen (Mitarbeiter auf Urlaub...). Erst am 24.12.
gelang es einer anderen Virenschutz-Firma (AVP) ein Sample (aus anderen
Quellen) zu bekommen und erste Analysen durchzufuehren. Hierbei stellte sich
heraus, dass dieser Virus weder so gefaehrlich wie angegeben, noch so
verbreitet sei.

Seit 25.12. ist dieser Virus wieder ein "normaler Virus". Er wird gefunden,
entfernt und die von ihm durchgefuehrten Datenverschluesselungen koennen auch
wieder rueckgaengig gemacht werden. Siehe auch die Meldungen auf der
AVP-Homepage ueber diesen Virus und seine Eigenschaften.
http://www.avp.at/news-scriptv.html 



Viren kommen selten ueber das Internet
Haeufigste Uebertraeger von Viren sind Mail-Attachments und Disketten

Washington (29. Dezember 98/14:02) - Die International Computer Security
Association (ICSA) hat einen Bericht zur Verbreitung von Computerviren
veroeffentlicht. http://www.icsa.com/ ICSA befragte rund 300 Unternehmen und
Regierungsstellen, die insgesamt etwa 750.000 PC und Server betreiben, und
kam dabei zu dem Ergebnis, dass nur wenige Viren ueber das weltweite Datennetz
uebertragen wurden. Nur 9,4 Prozent der Befragten glauben den Virus beim
Download aus dem Internet erhalten zu haben.

In einem Drittel aller "Infektionen" (32 %) wurde ein virenverseuchtes
Mail-Attachment als Quelle angegeben. Damit fuehren Mail-Attachments fast
ebenso haeufig zu einem Virenbefall wie Disketten, die von zu Hause
mitgebracht wurden (36%). Insgesamt werden Disketten von mehr als der Haelfte
der Befragten (52,8%) als Uebertragungsmedium angegeben.

Wie aus dem Bericht hervorgeht, ist die Zahl der Vorfaelle, bei denen Viren
eine Rolle spielten im Vergleich zum Vorjahr um 48 Prozent gestiegen. Pro
1.000 Rechner wurden heuer 86,5 Viren-Vorfaelle gezaehlt, im Vergleich zu
lediglich 62,5 im Jahr 1997. Die Zahl der ernsthaften Schaeden war in diesem
Jahr allerdings niedriger als im Vorjahr, da mehr Viren rechtzeitig gefunden
wurden. Dabei ist gleichzeitig auch die Verbreitung von Antiviren-Software
gestiegen. Die Liste der am haeufigsten gefundenen Viren wird dabei von
Makro-Viren angefuehrt, die ueber Word- bzw. Exceldokumente leicht auch ueber
das Internet verbreitet werden koennen. (handelsblatt) 


--- MfG Martin Weissenboeck
---
--- E-Mail: mweissen@ccc.at          Tel: +43-1-369 88 58-10
--- Gatterburggasse 7, A-1190 Wien   Fax: +43-1-369 88 58-77
 
-------
 This message was distributed via the Listserver of the CCC (Computer
 Communications Club) - (e-mail 'ccc@ccc.or.at' for info's).
 To unsubscribe from the list send a message to listserv@ccc.or.at with the
 following command in the message body: 'unsubscribe agtk' .