EMailwürmer (1)

EMailwürmer

Die echten Emailwürmer, die sich halb-eigenständig über Sicherheitslücken in EMailprogrammen verbreiten, sind dank immer besser werdender Sicherheitsmechanismen heutzutage nur noch selten ein Problem, obwohl der bekannteste Vertreter "Loveletter" auch nach mehr als 10 Jahren immer noch vereinzelt vorkommt.
Das Besondere an Emailwürmern : während die klassischen Würmer zu ihrer Verbreitung lediglich eine offene Internetverbindung benötigen, sind Emailwürmer auf die aktive Mithilfe des Opfers angewiesen, indem der Anwender einen Emailanhang öffnen und ausführen muß.

Im Alltag wird zwischen diesen beiden Erscheinungsformen von Würmern kein wirklicher Unterschied gemacht. Es ist stets von einem "Wurm" die Rede. Dennoch handelt es sich bei den EMailwürmern streng genommen nicht um Würmer, sondern um die in einem eigenen Artikel beschriebenen Social Engineering Attacks.
Das bedeutet, dass die Autoren dieser Schadprogramme durch geeignete Maßnahmen versuchen, den Anwender dazu zu bringen, das Schadprogramm zu starten.

In dieser Vorgehensweise liegt ein großer Nach- wie auch ein Vorteil für die Autoren dieser Programme. Der Vorteil ist, dass die Programmierer keine Installationsfunktion für ihre Schadsoftware schreiben müssen. Diesen Schritt erledigt der Anwender durch das Starten des Programms.
Der große Nachteil ist, dass sich die Wurmschreiber darauf verlassen müssen, daß der Anwender dies auch tut. Diesen Nachteil kompensieren die Autoren mit immer besseren Methoden der Täuschung, wie das Beispiel "Sober" eindrucksvoll gezeigt hat. Der Schädling erreichte die deutschen Anwender als EMailanhang einer EMail, die vermeintlich vom Bundeskriminalamt gesendet wurde. Viele Anwender fielen darauf herein.

Schadfunktionen

Ist ein EMailwurm erst einmal auf einem Computer zur Ausführung gekommen, sind die Auswirkungen je nach Art des Programms unterschiedlich. Da EMailwürmer sämtliche Funktionen anderer Schadsoftwaregruppen beinhalten können und heute auch keine absolut eindeutige Trennung nach Kategorien mehr möglich ist, kann mit einem solchen Programm nahezu alles möglich sein.

Die wichtigste Funktion (und charakteristische Eigenschaft) dieses Typs von Schadsoftware ist seine Verbreitung. Darum lesen solche Programme u.a. das Adressbuch anfälliger EMailprogramme aus und versenden sich an eine bestimmte Zahl oder an alle Adressen, die dort gespeichert sind. Auch Word-Dokumente, Excel-Dateien oder andere Quellen können als Adresslieferanten dienen.

Auch besitzen die meisten dieser Programme eine Funktion, die sicherstellt, dass der Schädling beim Starten des Computers in jedem Falle ebenfalls aufgerufen wird. Dazu verändert der Wurm die Windows Systemregistrierung, die viele zum Start und Betrieb des Betriebssystems notwendige Einstellungen enthält.

Die restlichen Funktionen des Wurm können - wie bereits erwähnt - recht unterschiedlich sein. Manche dieser Schadprogramme verhalten sich eher wie ein Trojaner und installieren Hintertüren auf dem System, laden nachträglich Programmcode aus dem Internet auf den lokalen Computer herunter oder spionieren Passworte und Lizenzschlüssel aus, um diese an vorher festgelegte EMailadressen zu senden.
Andere Schadprogramme verändern oder zerstören Daten auf dem Zielrechner, wie dies "Loveletter" seinerzeit getan hat.

Wieder andere EMailwürmer installieren sich auf dem Computer, um sich mit einem bestimmten Computer zu verbinden und auf eingehende Befehle zu warten. So ist der Angreifer beispielsweise in der Lage, hunderte oder tausende Computer auf einmal dazu zu veranlassen, WerbeEMails zu versenden. Ebenfalls sind mit Hilfe solcher Botnetze Attacken auf weitere Computer nötig, welche dazu führen, dass dieser seinen Dienst einstellt (Denial of Service). Die befallenen Computer werden dabei sozusagen zu einem Netzwerk zusammengeschlossen, zu einem sogenannten Botnetz.

Eine Wurm-EMail erkennen

Die Verbreitung von vielen der aktuellen EMail-Würmer spricht eine deutliche Sprache. Denn es gibt immer noch zu viele Anwender, die sich von den Tricks der Wurm-Autoren täuschen lassen. Dabei lassen sich Wurm-EMails in der überwiegenden Zahl der Fälle sehr einfach erkennen. Denn es gibt eine Reihe von Merkmalen, die unerwünschte Nachrichten enttarnen.

Mit das wichtigste Merkmal ist der Dateianhang der EMail, also die Datei, die mit einer EMail gesendet wird und den eigentlichen EMailwurm enthält. Anhand der Dateierweiterung des Anhangs können Sie schon sehr oft auf den ersten Blick erkennen, was sich dahinter verbirgt.
  • Achten Sie auf doppelte Erweiterungen wie "txt.vbs", "jpg.exe" oder "pdf.exe".
  • Achten Sie auf ausführbare Programme im Anhang wie "exe", "com", "bat", "pif" oder "scr".
  • Seien Sie aufmerksam bei gepackten Dateien wie "zip", "rar" oder "arj", wenn Sie diese nicht erwarten.
Besonders der erste Punkt ist wichtig. Um ihren wahren Charakter zu verbergen, bekommen die Anhänge in Wurm-EMails oftmals Dateinamen mit doppelten Dateierweiterungen, z.B. "loveletter.txt.vbs". Moderne EMailprogramme sollten jedoch mit solchen "Tricks" nicht mehr zu überlisten sein. Achten Sie also sehr gut darauf, welchen Namen die Datei im Anhang trägt.

Bei doppelten Erweiterungen ist lediglich die letzte der Endungen ausschlaggebend für das Format der Datei. Eine Datei wie die berüchtigte "Rechnung.pdf.exe" ist kein Adobe Reader Dokument, sondern ein ausführbares Programm.

Obwohl dieses Problem bereits seit Windows 2000 bekannt ist, werden selbst in Windows 7 nicht alle Erweiterungen einer Datei angezeigt, wenn diese mehr als eine besitzt. Die Wurmschreiber gehen davon aus, dass viele Anwender die Windows-Orderoptionen für die Anzeige von Dateinamen im Grundzustand belassen haben. In dieser Grundansicht werden nämlich die Erweiterungen entweder gar nicht angezeigt (wenn es sich um bekannte Erweiterungen handelt) oder es wird nur die erste Erweiterung angezeigt.

Für den Anwender ist es nämlich mit ein wenig Handarbeit möglich, stets alle Erweiterungen einer Datei anzeigen zu lassen. Gehen Sie unter Windows 7 wie folgt vor:
  • Klicken Sie auf "Start"
  • Klicken Sie auf "Computer". Es öffnet sich ein Explorer-Fenster.
  • Wählen Sie aus dem Menü "Organisieren" den Punkt "Order- und Suchoptionen".
  • Wählen Sie den Reiter "Ansicht".
  • Entfernen Sie den Haken vor "Erweiterungen bei bekannten Dateitypen ausblenden".
Wurde diese Funktion nicht genutzt, werden bekannte Dateiendungen nicht angezeigt oder der Nutzer sieht lediglich eine "loveletter.txt". Lediglich das Dateisymbol und die Beschreibung verraten Ihnen dann, um was es sich wirklich handelt.

[1]  [2]