Makrokosmos

Inhaltsverzeichnis

Die breite Öffentlichkeit nimmt oft nur von Viren mit besonders spektakulären Schadensroutinen Notiz - unabhängig davon, wie oft diese tatsächlich zuschlagen. In die Fußstapfen solcher `Killerviren´ wie Herbstlaub oder Michelangelo trat unlängst der CIH-Virus, der in der Lage ist, auf bestimmten Motherboards das BIOS-FLASH-ROM zu löschen, was naheliegenderweise zu Problemen beim Rechnerstart führt.

Obwohl Trojanische Pferde und eigenständige Programme mit Spionage- oder Schadfunktion (Zeit- oder Logik-Bomben) eine größere Bedrohung darstellen, finden sie weniger Beachtung - selbst bei einigen Anti-Virus-Softwareherstellern, wie Erfahrungen des Virus Test Centers Hamburg zeigen [1|#lit1]. Neben zahlreichen Trojanern, die AOL-Paßwörter ausspionieren, wurde jüngst das Trojanische Pferd URLSnoop bekannt, das unter Windows 9x EMail-Adressen sammelt und nach China versendet. Darüber hinaus haben sich die `Hintertür-Server´ Back Orifice und NetBus auf etlichen Computern eingenistet und gewähren dort ihren Urhebern nahezu unbeschränkten Zugriff. Längst nicht jeder Virenscanner erkennt jede der reichlich vorhandenen NetBus-Varianten.

Weitgehend unbemerkt erschließen sich Viren neue Lebensräume: Programmdateien und Bootsektoren sind Wirte, die nur selten `wandern´. Sofern es nicht gelingt, Infektionen an prominenter Stelle (CD-ROMs, bekannte FTP-Server usw.) zu plazieren, wie das vermutlich bei CIH der Fall war, ist keine rasante Verbreitung zu erwarten. Office-Dokumente gehen erheblich häufiger von Hand zu Hand und werden offenbar selbst aus unbekannter Quelle immer noch unbekümmert akzeptiert. In den letzten zwei Jahren haben Makroviren regelmäßig die ersten Plätze der Infektionsstatistiken belegt.

Nach WordBasic für MS Word 5/6 sowie Visual Basic for Applications (VBA, ab Word 8) treten nunmehr alle Formen von Skript-Viren in den Vordergrund. Während viele Anwender beim klassischen Dateiaustausch über Disketten ein gewisses Risikobewußtsein entwickelt haben, hat der stark zunehmende elektronische Versand von Dokumenten (Word-Dateien, Excel-Spreadsheets usw.) sowie das Herunterladen von skriptgesteuertem aktivem WWW-Inhalt (Java-Applets, JavaScript, VBScript usw.) neue Verbreitungswege erschlossen.

Die erweiterten Steuerungs- und Skriptfähigkeiten von Windows 98, Windows 2000 und den neueren Internet-Explorer-Versionen begünstigen das noch [2|#lit2]. Vor allem bietet die Sprache VBA weitreichende Möglichkeiten zur Systemmanipulation, die zunehmend von Virusprogrammierern ausgenutzt werden. Inzwischen sind rund 4000 Makroviren vornehmlich für Word und Excel, aber auch für Access, PowerPoint sowie AmiPro bekannt.

PowerPoint-(PPT)-Viren sind die jüngste Gattung: Erstmals im Dezember 1998 aufgetreten, kennt man mittlerweile schon mehr als acht Viren, von denen sich einige über mehrere Anwendungsprogramme - genauer über deren Dokumente - verbreiten können. Das Namensschema der Computer Antivirus Research Organisation (CARO) benennt diese `Cross Infectors´ mit dem Präfix O97M/ für `Office 97 Makro´. So ist beispielsweise die O97M/Tristate-Virusfamilie in der Lage, sowohl Word- als auch Excel- und PowerPoint-97-Dateien zu infizieren.

Die ersten Cross-Infector-Makros wurden Mitte letzten Jahres in Form der O97M/Cross-Familie beobachtet. Sie enthält für jedes zu infizierende System genau genommen einen eigenen Virus, der mit Hilfe von (Debug)-Skripten entpackt und installiert wird. Neuere Cross-Infektoren wie O97M/Jerk oder O97M/Tristate verwenden hingegen nur noch ein VBA-Modul, das die entsprechenden Routinen für die jeweilige Anwendung enthält.

Gekittet

An reinen Word-97-Makroviren sind im letzten Jahr verstärkt Produkte aus Viren-generatoren (Virus Construction Kits) aufgetaucht. Der VMPCK-Generator und sein Nachfolger CPCK ermöglichen selbst unerfahrenen Benutzern, Makroviren zu erstellen. Mit VBA-Grundkenntnissen lassen sich aus diesen Quellcode-Viren leicht neue Abarten entwickeln, die je nach dem Grad der Veränderung von Anti-Viren-Software nicht mehr der Virengenerator-Familie zuzuordnen ist.

Waren die rund 90 möglichen VMPC-Kit-Viren noch einfach zu entdecken, benutzen neuere Generatoren zudem polymorphe Techniken, um ihre Makros zu variieren; die W97M/Class-Viren haben bislang etwa 60 bekannte Abkömmlinge hervorgebracht. Diese Makroviren bleiben dabei aber voll kompatibel zu Word 97, einschließlich der bekannten Service Packs. Die neuerdings verwendeten Techniken erlauben sogar Doppelinfektionen sowie Codeüberlagerungen (etwa bei der W97M/Ethan- und der W97M/ColdApe-Familie). Derart kombinierte Viren lassen sich nur schwer identifizieren.

Web-Viren

Die Integration von VBS in den Internet Explorer hat den Virenschreibern erste Schritte in eine noch größere und infektiösere Welt erlaubt: Im Herbst 1998 erschienen die ersten `HTML´-Viren, die zwar nicht in HTML (Hypertext Markup Language) implementiert sind (dazu bietet diese Sprache keine Möglichkeiten), aber HTML-Dokumente befallen. Solange es dabei blieb, war die Ausbreitung begrenzt, da ein Surfer - selbst, wenn sein Rechner infiziert ist - ja keinen Server `anstecken´ kann, den er besucht. Nachfolgende Versionen dieser Viren infizieren aber durch die gemeinsame Microsoft-Skriptgrundlage auch die globale Dokumentvorlage von Word 97 und Word 2000, so daß eine Weiterverbreitung als Makrovirus mit speziellen VBA-Code möglich wurde.

Ein undokumentiertes neues Microsoft-Kodierungsmodul gestattet sogar eine fortschrittlichere Tarnung als VBA: Der VBS/Zulu-Virus nutzt diese Funktionen, um sich selbst zu kodieren und so eine Entdeckung durch Scanner zu erschweren. Allerdings verbreitet sich der Virus nur in der statisch kodierten Fassung und verschleiert sich nicht bei jeder Vermehrung neu.

Schlüsseldieb

Für einige Aufregung in der Krypto-Szene sorgte in den letzten Monaten der W97M/Caligula.A-Virus. Auch dieser Virus entstammt dem VMPC-Kit und wurde nachträglich von Hand modifiziert. Seine Schadensroutine macht ihn so brisant: Caligula sucht auf der lokalen Festplatte nach den geheimen Schlüsseln der Krypto-Software Pretty Good Privacy (PGP) und verschickt die Datei secring.skr (ab PGP 5) per FTP an den Server einer Hackerorganisation. Wer seinen PGP-Schlüssel mit einer vernünftigen langen Passphrase geschützt hat, kann zwar einigermaßen beruhigt sein, weil ein Knacken der Verschlüsselung, die den Secret Key schützt, kaum möglich ist. Das Beispiel zeigt aber wieder einmal eindringlich, daß ein vernetzter Windows-Rechner keine Sicherheit für gespeicherte Daten bietet. Der Virus hätte mit etwas mehr Code ebensogut auch zusätzlich bestimmte Tastatureingaben protokollieren können ... Auf einem Windows-PC muß man immer davon ausgehen, daß alle (flüchtigen wie gespeicherten) Daten Allgemeingut für jedes Programm sind, das auf dem Rechner läuft - egal, ob Applikation, Trojaner oder Virus.

Neben den Windows-Features, die sich im Guten wie im Bösen nutzen lassen, greifen einige neuere Viren aber auch auf Bugs zurück: Eine Sicherheitslücke in Word 97 erlaubt die Ausführung von Makro-Code aus Dokumentvorlagen, die irgendwo im Internet liegen. Die Vorlage (Template) wird dann beim Öffnen des Dokuments aus dem Netz geladen. Damit liegt der virale Code nicht einmal mehr auf dem eigenen Rechner und entzieht sich somit auch einer Prüfung durch Scanner - die Infektion verbreitet sich nicht durch Makros, sondern durch Modifizierung des Template-Zeigers. Microsoft liefert zwar seit Ende Januar einen Patch gegen das Template-Problem; den gibt es aber bislang nur für die englischsprachigen Word-Versionen. Dem Rest der Welt bleibt diese Lücke für Viren wie W97M/Nail.A-Virus erhalten, der zudem auch wieder das integrative Windows-Konzept nutzt und als Schadensfunktion mittels MAPI-Interface (Mail API) Mitteilungen an verschiedene Personen verschickt.

Wer konvertiert ...

Ein anderes Problem macht den Virenscannern zu schaffen: aufwärts-konvertierte Viren (Upconverts). Das sind in WordBasic oder VBA3 geschriebene Makroviren, die unter Office 97 oder Office 2000 geladen werden. Durch die automatische Konvertierung in die Makrosprache VBA5 entstehen neue VBA5-Viren, für die spezielle Erkennungs-Strings notwendig sind. Allerdings `überleben´ Schätzungen zufolge nur etwa vier Prozent aller WordBasic-basierten Viren die Mutation nach Office 97/2000. Dies liegt unter anderem an den mit Service Release 1 eingeführten Schutzmechanismen, die eine Konvertierung oder einen Kopierbefehl für Makrodaten weitaus restriktiver behandeln als frühere Versionen.

In Zukunft werden sich wohl neben den Makroviren weitere Formen von `aktivem Inhalt´ (active content) als Schädlinge etablieren. Selbst die vermeintlich sichere Sprache Java eignet sich zum Schreiben von Viren. Einige vom Hersteller Sun offenbar `übersehene´ Experimente ließen das schon vor längerer Zeit erahnen. Im letzten Jahr bewiesen dann die Java-Viren `Strange Brew´ und `BeanHive´ die Tragfähigkeit dieses Konzepts. Java-Viren sind jedoch derzeit eher eine schlummernde Gefahr. Wohl nicht zuletzt, weil sich bei aktivem Inhalt unmittelbare Wirkungen eher anbieten. Wozu eine Inkubationszeit abwarten, um sich zu verbreiten, wenn man den Schaden - womöglich völlig unbemerkt - auch sofort anrichten kann? Es gehört dennoch nicht viel Phantasie dazu, sich vorzustellen, daß künftige Generationen `aktiver Schadsoftware´ stärker als bisherige das Internet als Infektionsraum nutzen werden. (nl)

Literatur

[1] Viren Test Center der Uni Hamburg, http://agn-www.informatik.uni-hamburg.de/vtc/navdt.htm

[2] Microsoft Scripting Technologies, http://msdn.microsoft.com/scripting/ (ole)