H+BEDV Datentechnik GmbH

Homepage
Produkte

News

Virenkunde
Downloads
Support
Kontakt
 
English

Copyright 1998-2000
webmaster@antivir.de
Scriptviren und Würmer

av_shad.gif (1951 Byte)
 

eine Klasse für sich?

Vor einigen Monaten tauchte der erste Script-Virus auf, basierend auf Visual Basic Script (VBS). Diese neue Klasse von Viren hat sich in der letzten Zeit rasant verbreitet und sich innerhalb kürzester Zeit an die Spitze der Virenhitliste gesetzt. Das bekannteste Beispiel dieser Klasse dürfte der Virus VBS/Loveletter (auch VBS/Love oder VBS/ILoveYou genannt) sein. Technisch gesehen ist Loveletter allerdings kein "reinrassiger" Virus, sondern ein Wurm. Ein Wurm ist ein Programm, das sich selbst zu vervielfältigen vermag, ohne ein Wirtsprogramm zu brauchen.

Diese Viren sind extrem einfach zu programmieren und verbreiten sich - entsprechende Techniken vorausgesetzt - innerhalb weniger Stunden per Email um den ganzen Erdball. Da durch einfaches Ändern einiger Textzeilen ein "neuer" Virus erzeugt werden kann, tauchen auch immer wieder leicht veränderte Ableger auf, die vielen Antivirenprogrammen Probleme bereiten. Allein von VBS/Loveletter sind über hundert Varianten bekannt.

Wie funktionieren Script-Viren?

Viele Softwareprodukte bieten die Möglichkeit, Arbeitsabläufe zu automatisieren. Dies geschieht durch kleine "Programme", sog. Scripte, die zur Laufzeit der jeweiligen Anwendung interpretiert und ausgeführt werden. Meistens sind die Scripte als reiner, lesbarer Text geschrieben, was das Erzeugen und damit allerdings auch den Missbrauch in Form von Viren und Würmern sehr stark vereinfacht. Einige bekannte Script-Sprachen sind Visual Basic Script, mIRC, Visual Basic for Applications (VBA) etc. Der Großteil dieser Viren ist allerdings einer einzigen Script-Sprache zuzuordnen: Visual Basic Script.

Diese Script-Sprachen sind teilweise so mächtig (VBS), dass damit fast alle Funktionen eines Betriebssystems aufgerufen und ausgeführt werden können. Unter anderem lassen sich damit Applikationen steuern, Emails versenden, "richtige" Programme ausführen etc. Dieses große Funktionsspektrum öffnet - trotz sporadischer Sicherheitsvorkehrungen der Hersteller - den Viren Tür und Tor zum lokalen Computersystem.

Scriptviren und -würmer benutzen eine dieser Script-Sprachen, um sich selbst in andere, neue Scripte einzufügen oder sich selber durch den Aufruf von Betriebssystemfunktionen zu verbreiten. Häufig geschieht dies per Email oder durch den Austausch von Dateien (Dokumenten). Es gibt aber auch andere Verbreitungswege: Einige Scriptwürmer für das Chatprogramm mIRC z.B. verschicken sich selber per DCC an andere Benutzer. Wird das Script dann vielleicht an einer "falschen" Stelle gespeichert (z.B. im mIRC-Verzeichnis), wird der Wurm bei jedem Start des Programms aktiv und kann sich wiederum weiter verschicken...

Oftmals wird noch eine Schadensfunktion, der sog. Payload (engl.: Nutzlast), eingebaut. Dieser Teil des Virus oder Wurms wird durch ein bestimmtes Ereignis (z.B. Datum/Uhrzeit, n-te Generation des Virus, Tastendruck, etc.) ausgelöst. Diese Schadensfunktion kann dann alles anstellen: von einer einfachen Bildschirmmeldung über das Formatieren der Festplatten bis hin zum Start externer EXE-Viren ist alles möglich.

Gegenmaßnahmen

Da die meisten Scriptviren und –würmer auf VBS basieren und sich über Email verbreiten, führen bereits einfachste Maßnahmen zu einer Verringerung der Gefahr: 

  • Sensibilisierung. Anlagen nicht einfach durch einen Doppelklick öffnen! Egal, ob die Email von einem Bekannten oder einem Unbekannten kommt: die Anlage könnte einen Virus enthalten. Also zuerst mit einem Antivirenprogramm prüfen oder die Anlage mit einem Dateibetrachter (MS-Wordview, MS-Excelview, einfacher Texteditor) öffnen bzw. kontrollieren.

  • Regeln für Firewall/Content-Filter aufsetzen. Haben Sie einen aktiven Content Filter, können Sie durch einfachste Regeln (z.B. keine Attachments mit der Endung *.VBS durchlassen) die Gefahr verringern. In den meisten Fällen wird VBS in den Unternehmen nämlich nicht eingesetzt.

  • Verwenden Sie andere Email Clients. Bereits durch das Verwenden eines anderen Email Clients (z.B. Qualcomm Eudora, Pegasus Mail, Lotus Notes, ...) verringern Sie die Gefahr, da Scriptviren sich hauptsächlich über MS Outlook hermachen.

  • Einsatz einer guten Antivirensoftware. Durch den Einsatz einer Antivirensoftware für das jeweilige Mail Programm können Sie die Gefahr weiter verringern. Bevorzugt sollte die Software am Gateway installiert werden (SMTP-Scanner, z.B. AVMailGate).

  • Internet-Sicherheitseinstellungen maximieren. Stellen Sie die Sicherheitseinstellungen Ihres Browsers auf hoch. Die meisten Viren können diese Barriere nicht automatisch überwinden. Dies schützt allerdings nicht vor neugierigen Anwendern, die die Attachments dann doch manuell starten.

  • Aktuelle Sicherheitspatches aufspielen. Besorgen Sie sich für Ihren Browser bzw. Ihren Email Client die aktuellen Sicherheitspatches. Hier sind allerdings vorher Tests angebracht, denn ab und zu verursachen diese Patches wiederum an anderen Stellen noch größere Probleme.

Beispiele für Scriptviren

  • VBS.LoveLetter

  • VBS.Newlove

  • VBS.FreeLink

  • VBS.Monopoly

  • CS.Gala

  • HTML.Internal

  • HTML.NoWorm

  • Script.Inf

  • WinScript.AVM

  • WinScript.777

  • WinScript.Rabbit

Aktuelle Virenbeschreibungen