 |
Gratis-Schutz: Firewall gegen Viren, Unholde und Trojaner - 4/9
01.05.2004 by doelf
Der komplette Artikel als Druckversion
Wozu braucht man eine Firewall?
Jeder Rechner, der mit einem Netzwerk verbunden ist - sei es das lokale Netzwerk über die 100-MBit Netzwerkkarte, W-LAN oder ein Modem zum Internet - hält für verschiedene Anwendungen Türen in das Netz offen. Wenn aber nun eine Türe die ganze Zeit offen steht, brauchen Einbrecher nur die Adresse zu kennen, und blitzschnell ist die Wohnung leer geräumt. Ganz ähnlich sieht es bei Computern aus: Sobald der Rechner seine Türen zum Netzwerk öffnet, erhält er eine IP-Adresse und wird angreifbar. Mit unserer Firewall engagieren wir nun einen Türsteher, der ungebetene Gäste hinauswirft und eingeladene Besucher hereinläßt. Wer eingeladen ist, entscheidet der Computerbenutzer alleine!
Viren und Trojaner
Während Viren zumeist nur auf ihre Vermehrung und Zerstörung aus sind, öffnen Trojanische Pferde Hintertüren auf dem Computer und ermöglichen es Fremden, Zugriff auf Daten und Geräte zu erhalten. Die Eindringlinge erhalten im Ernstfall genau so viel "Macht" wie der Benutzer selbst. Die Grenze zwischen Viren und Trojanern verwischt sich immer mehr, da Trojaner die gleichen Techniken wie Viren für ihre Verbreitung nutzen.
Versteckten sich die Eindringlinge füher lediglich in ausführbaren Dateien (*.exe oder *.com), so finden wir sie heute auch als Makros in Office-Dokumenten oder als unliebsame Anhängsel an einer E-Mail. Eingeschleppt werden Viren auf den lokalen Rechner über Datenträger (Diskette, CD, DVD, externe Festplatte), das Netzwerk und das Internet. Während infizierte Programme - *.exe, *.com aber auch *.scr (Screensaver) - ausgeführt werden müssen, um sich auf andere Programme zu verbreiten, reicht es bei einigen Office und E-Mail Programmen bereits aus, die Datei, welche das Makro enthält, bzw. die E-Mail, an der ein Virus hängt, zu öffnen, um sie anzusehen. Aus diesem Grund sollte man die Programme immer so konfigurieren, daß sie vor dem Ausführen von Makros oder E-Mail-Anhängen nachfragen! So man sollte z.B. bei Microsoft Outlook unter "Ansicht", "Layout" die Option "Vorschaufenster anzeigen" immer deaktivieren, um es erst gar nicht zur Ausführung von gefärhlichem Code kommen zu lassen. Bei Mozilla und Netscape sollte man unter "Einstellungen", "Erweitert", "Scripts und Plugins" für E-Mail und Diskussionsforen Java-Script ausschalten. Sicherheitshalber sollte man zudem neue Programme, Dokumente und Mails immer auf Viren überprüfen!
Mit dem Blaster-Worm hat eine neue Generation von Viren Einzug gehalten, die sich nicht über Programme, Dokumente oder E-Mails verbreitet, sondern sich durch eine Schwachstelle des Betriebssystems einschleicht. Moderne Betriebssysteme beinhalten die Möglichkeit, Updates automatisch oder auf Nachfrage aus dem Internet zu beziehen, Programme und Programmteile von entfernten Servern zu laden, Daten mit Programmen auszutauschen, die auf anderen Rechnern laufen. All diese Möglichkeiten bieten auch ein Gefahrenpotential, da Angreifer durch Pufferüberläufe fremden Code auf den heimischen Rechner schleusen können. Die zuvor genannten Updates von Microsoft stopfen die gröbsten Lücken und sind ABSOLUTE PFLICHT! Dennoch MUSS zusätzlich ein Team aus Virenscanner und Firewall die Abwehrkette bilden: Wenn ein fremder Wurm vor eine Tür rumlungert, hält unser Türsteher ihn vom Einschleichen ab!
Während Blaster, Agobot, Phatbot und Sasser die RPC-Lücke (TCP-Ports 135 und 445) ausnutzen, um auf ein fremdes System zu gelangen, verschicken sich andere Viren wie die W32/Bagle-Familie und die W32/Netsky-Varianten via E-Mail - ein SMTP-Server ist in diesen Würmern integriert. Zudem öffnen viele Viren auf den angegriffenen Rechnern einen oder mehrere Ports, um Daten verschicken oder empfangen zu können - hier einige Beispiele:
- Sasser: FTP-Server auf TCP-Port 5554
- W32/Bagle: Nimmt über TCP-Port 2535 Kontakt mit seinem Programmierer auf
- W32/Netsky: Öffnet TCP-Port 6789 um Programme nachzuladen und auszuführen
Die Viren verbreiten sich somit weitgehend unbemerkt, einzig die regelmäßige (am Besten tägliche) Aktualisierung des Virenscanners bietet einen wirksamen Schutz! Wer den am weitesten verbreiteten Plagegeistern bzw. deren zukünftiger Verwandtschaft einen Strich durch die Rechnung machen will, schließt vorsorglich die gefährdeten Ports. Allerdings kann man nicht alle Ports versperren, da sonst auch der Weg ins lokale Netzwerk versperrt wird.
Wie groß ist die Gefahr durch Viren? Wird da nicht etwas übertrieben?
Keinesfalls! Moderne Viren sind wahre Multitalente, Phatbot bietet z.B. folgende Funktionen:
- FTP-Server
- IRC-Client
- DCOM ein- und ausschalten
- Systeminformationen ermitteln
- Dateien hoch- und herunterladen
- Dateifreigaben manipulieren
- Automatische Updates des Virencodes durchführen
- PC herunterfahren oder neu starten
- Prozesse oder Dienste beenden (z.B. Virenscanner oder Firewall)
- Umleitung von Internetdiensten (z.B. um Kreditkartennummern abzufangen)
Einen solchen ungebetenen Gast will niemand auf dem eigenen PC haben!
|
|
