Wenn wir einen Virus, Wurm oder Trojaner – kurz: ein Schadprogramm oder Malware – auf unserem Rechner haben, so ist das eine höchst unerfreuliche Angelegenheit. Vor kurzem aber hat nun ein namhafter Antivirenprogrammhersteller eine weitere Bedrohung gefunden: Schadprogramme, die andere Schadprogramme infizieren und somit das Bedrohungspotential insgesamt steigern! Aber beginnen wir von vorn…

Schadprogramme können in verschiedene Kategorien eingeteilt werden, je nachdem, wie sie sich selber verbreiten und was sie bewirken. Die folgenden drei, nach der Verbreitungsart kategorisierten Typen von Schadprogrammen sind die am häufigste anzutreffenden:

Viren

Viren sind die ursprünglichsten aller Schadprogramme. Ihr Name leitet sich aus ihrer Eigenschaft her, dass sie genau wie ihre biologischen Vorbilder “Wirtszellen”, im Falle von Computern also meist Dateien, infizieren und für ihre Zwecke missbrauchen. Dabei schleusen sie ihren Programmcode in eine (in der Regel ausführbare) Datei ein, indem sie ihn zum Beispiel einfach an den Anfang der Datei kopieren. Wird die Datei nun gestartet, so wird auch irgendwann der Code des Virus ausgeführt. Der Virencode bewirkt in der Regel, dass sowohl neue Dateien im Dateisystem befallen als auch oft genug mehr oder weniger schädliche Aktionen durchgeführt werden, indem etwa weitere Dateien auf der Festplatte willkürlich zerstört werden. Ein Computervirus benötigt also ganz wie ein echter Virus immer einen Wirt, welchen er infizieren und für seine weitere Vermehrung benutzen kann. Die Verbreitung eines Computervirus von einem System auf ein anderes kann allerdings nur erfolgen, wenn eine infizierte manuell (das heißt, durch den Anwender) auf ein anderes System kopiert wird. Aus diesem Grund finden sich Viren auch vermehrt in Tauschbörsen und Seiten mit illegalen Programmdownloads, da hier viele Programme – oft ohne weitere Prüfung – über das Netzwerk verteilt werden und somit die Verbreitung der Viren unterstützen (und unter anderem deswegen sollte man auch tunlichst die Finger von derartigen Angeboten lassen).

Würmer

Viren sind passive Schadprogramme, welche eine Interaktion des Nutzers erfordern, um sich zu verbreiten. Demgegenüber stehen die Würmer, die sich aktiv, also ohne das Eingreifen des Anwenders verbreiten. Die Verbreitung läuft hier typischerweise über das Netzwerk; ein auf einem Rechner gestarteter Wurm kann etwa das lokale Mailprogramm ansteuern und sich selber per Mail an sämtliche Kontakte im Adressbuch des Programms schicken. Führen die Empfänger der Mail den Wurm bei sich auf dem Rechner aus (was nicht einmal so unwahrscheinlich ist, da die Mail ja in der Regel von einem vertrauenswürdigen Kontakt kam), so geht das Spiel von vorne los. Würmer können dabei einfache Programme sein, oder auch Dokumente mit automatisch ausgeführtem Code. Auch ist es denkbar, dass eine von einem Wurm verschickte E-Mail lediglich einen Link auf eine Website enthält; wird vom Empfänger der Mail auf diesen Link geklickt, so wird automatisch das Wurm-Programm auf dem Rechner installiert. Der Hauptschaden durch Würmer entsteht dadurch, dass sie die verfügbaren Ressourcen eines Rechners (insbesondere natürlich die verfügbare Internetverbindung) durch ihre weitere Verbreitung stark belasten und somit auch Abstürze des Systems hervorrufen können.

Trojaner

Ein Trojaner – oder eigentlich “Trojanisches Pferd”, angelehnt an das trojanische Pferd der griechischen Mythologie – ist (analog zum mythologische Vorbild) ein Programm, welches eine bestimmte, nützliche Funktionalität vortäuscht, aber eigentlich eine ganz andere und meist schädliche Funktion hat. Wird der Trojaner durch den Anwender gestartet, so wird neben dem eigentlichen Programm noch der Schadcode ausgeführt, durch welchen etwa der Rechner ausspioniert oder Viren verbreitet werden können. Trojaner verbreiten sich, ähnlich wie Viren, zwischen Computern nur durch Nutzerinteraktion, wenn die Schadprogramme etwa aus dem Internet heruntergeladen werden. Alternativ kann ein Trojaner aber natürlich auch auf dem Rechner, auf dem er ausgeführt wird, einen Wurm installieren, welcher dann schließlich den Trojaner per Mail automatisiert weiter verbreitet – man hat dann einen Hybriden aus Trojaner und Wurm.

Es ist im Malware-Geschäft durchaus üblich, dass Hybriden aus mehreren Schadprogrammen im Umlauf sind, wenn etwa wie bereits erwähnt ein Trojaner Würmer oder Viren verbreitet oder ein Virus einen Wurm auf einem Rechner installiert. Derartige Verbindungen sind aber immer in ihrer ganzen Schädlichkeit geplant und von vornherein so konzipiert.

Untersuchungen haben nun aber gezeigt, dass Malware-Hybriden auch auf “natürlichem” Weg, also ohne explizite Planung, entstehen können. Das kann dann passieren, wenn ein Virus, welcher ja Dateien auf der Festplatte befällt, einen Wurm
auf ebendieser Festplatte
infiziert, welcher ja wiederum eine Datei ist (für derartige Verbindungen wurde übrigens der Name “Frankenmalware” geprägt). Das eigentlich Gefährliche ist nun: verbreitet sich der infizierte Wurm übers Netz, so nimmt er den Virus mit sich und trägt zu dessen Verbreitung bei. Wir erinnern uns: die meisten Viren sind nicht in der Lage, Rechnergrenzen zu übertreten, sondern verlassen sich auf die Verteilung durch den Benutzer. Dadurch aber, dass sich Würmer automatisiert verbreiten und Viren quasi im Gepäck mitführen, ergeben sich für die Viren vollkommen neue Verbreitungswege.

Zusätzlich kann es nun auch noch passieren, dass die beiden so im Verbund agierenden Schadprogramme über Funktionalitäten verfügen, welche dem jeweils anderen Programm helfen; wenn etwa der Wurm den Virenscanner eines Rechners blockiert, kann sich der mitgeführte Virus umso leichter ausbreiten.

Und um es noch schlimmer zu machen, wurde ein weiteres Szenario diskutiert. Viele Virenscanner sind in der Lage, Viren aus infizierten Dateien zu entfernen. Dabei geschieht es aber mitunter, dass die Struktur der ursprünglichen Datei bei der Desinfektion leicht verändert wird; nicht so stark, dass sich die Funktionalität ändert, aber immerhin genügend, dass sich die der Datei (gewissermaßen deren Erkennungsmerkmal für den Virenscanner) ändert. Hat nun ein Virus einen Wurm infiziert, wird diese infizierte Datei vom Virenscanner entdeckt und findet dieser zusätzlich noch zuerst den Virus in der Datei und entfernt ihn, so kann es passieren, dass sich die Signatur des Wurms ändert – mit dem Ergebnis, dass er nicht mehr von Virenscannern entdeckt werden kann (denn deren Suche basiert wie gesagt häufig auf dem Signaturvergleich von Dateien). Fast könnte man sagen, dass der Wurm einer evolutionstechnischen Mutation unterliegt, welche seine Überlebenschancen erhöht.

Auch wenn das Thema “Malware” ein eigentlich unerfreuliches ist, so sind derartige Beobachtungen dennoch interessant, da sie gewisse Parallelen zur Biologie besitzen und einen Ausblick darauf geben, was uns im Bereich der Computer noch so alles in Zukunft erwarten kann.

In jedem Fall aber, und diese Gelegenheit für eine Moralpredigt möchte ich mir nicht entgehen lassen, erinnern sie uns daran, was beim Umgang mit dem Internet immer wieder wichtig ist: Finger weg von dubiosen Seiten im Netz, keine illegalen Downloads und auf Links in Mails nur klicken, wenn man genau weiß, wohin der Link führt – man weiß nie, was man sonst bekommt. Und für einen Computer ist eine Vireninfektion nicht angenehmer als für einen Menschen – die alljährliche Erkältung dürfte dafür Argument genug sein.

Kommentare (31)

  1. #1 pippen
    Februar 15, 2012

    Da musste ich doch gleich mal schauen, ob es soetwas (Wurm-Virus Kombination) in der Natur gibt:
    Scheinbar nicht. Habe nur im Journal of the Royal Society Interface ein Paper gefunden, bei der eine Wurm-Virus Co-Infektion an Hasen untersucht wurde.
    Ergebnis: Wenn der Hase mit dem Virus infiziert wurde, verschlimmerte das auch den Wurmbefall. Boag et.al. (2007)

  2. #2 nihil jie
    Februar 15, 2012

    der Titel des Artikels erinnert mich gerade an etwas was ich früher gerne mal auf meinem Rechner laufen ließ… kennt jemand von euch Core War ? 😉

  3. #3 Dr. Webbaer
    Februar 15, 2012

    Mal ganz laienhaft gefragt: Ist es nicht so, dass Malware (für Bot-Netze, Trojaner, Multiplikatoren jeglicher Art), bevor diese an den Start gebracht wird, bspw. durch Anhängen und zum Download-Anbieten von an sich nutzbringender SW, ohnehin so verschlüsselt/getarnt wird, dass sie von den Scannern, die ja musterbezogen arbeiten, nicht erkannt werden kann?

    MFG
    Dr. Webbaer

  4. #4 rolak
    Februar 15, 2012

    Jein, seit die queues&pipes der cpus länger geworden sind, ist auch zwangsläufig die Anzahl Bytes gestiegen, die unverschlüsselt bleiben müssen. Dadurch sind typische Auspacksequenzen mit einem schlichten Mustervergleich gut zu erkennen und nach dem/teilweisem AVseitigen Dekodieren ist der Rest analysierbar. Bedenke: Alles was zum Entschlüsseln notwendig ist, muß mitreisen.

    btt: /Vor kurzem/ Ok, es ist nicht ganz dasselbe, doch schon in den 80ern machten mehrfach infizierte Programme wirklich ekelhaften Ärger. War manchmal wie das Schälen einer Zwiebel, die von innen nachwächst… und führte in einigen Fällen zu radikalen Lösungen 😉

  5. #5 nihil jie
    Februar 15, 2012

    da gab es mal so ein netten virus. der hatte so einen einarmigen Banditen im ascii Format auf den Bildschirm gezaubert und da drunter stand “wenn du 5 richtige hast bekommst du meine Telefonnummer wenn nicht formatiere ich dir die Festplatte” 😉

    welchen ich noch ziemlich lustig fand war der Hafenstrassen Virus… da fuhr so eine Polizei-Wanne auf dem unteren Bildschirmrand herum. oder auch der Virus bei dem die Buchstaben runter fielen… 🙂

    naja… ich fand es ziemlich spaßig. ich will das auch nicht weiter ausführen sonnst müsste ich noch ein paar dinge hier zugeben *tztz

  6. #6 Dr. Webbaer
    Februar 15, 2012

    @rolak
    Es scheint Old Webbaer prinzipiell möglich maschinell ausführbare Logik so zu verpacken, dass Mustererkennung scheitert. Das gilt natürlich auch für jede Logik (=Sprachlichkeit), der sich dumme Mustererkenner (auch erfahrungsgemäß 🙂 nicht gut annähern können. – Dr. W sieht hier bis auf weiteres Allgemeinwissen adressiert, kann aber – sofern hier konkrete Hinweise erfolgen – noch einmal “intern” nachfragen…

  7. #7 rolak
    Februar 15, 2012

    Aber sicher, er trampelt wieder auf den üblichen Pfaden: Alles was dem Herrn W machbar scheint ist auch machbar.

    Ein endlich langes Programm kann nur endlich viele Dekodierroutinen für seine Klone im Vorrat haben (w). Aus die Maus nach der ersten Analyse.

  8. #8 Dr. Webbaer
    Februar 15, 2012

    @rolak
    Nur noch mal sicherheitshalber nachgefragt: Sie meinen, dass man mit Mustererkennern ein gewisses Maß an Vollständigkeit erreichen kann?

  9. #9 engywuck
    Februar 15, 2012

    ja klar kann man das, wb. letztlich im Zweifelsfall mit einer Heuristik. Auch ein versteckter Schadcode muss ja vor bzw. während der Ausführung als ausführbarer Code vorliegen. Also schaut man, welche Möglichkeiten es gibt, mit einer endlichen Zahl an Bytes (und damit Instruktionen) einen Schadcode zusammenzubasteln. Als einfachste Varianten seien hier das Benutzen einer Dekodierroutine, das zusammenkopieren an verschiedenen Stellen liegenden Codes im eigenen Programm (übrigens eine Methode des Bundestrojaners) oder das wilde Anspringen fremder Programme (z.B. indem auf den Befehl kurz vor einem “Return” in einer Routine gesprungen wird, die das Betriebssystem mitbring). Letztlich bleiben eine Handvoll Variantn übrig, die potentiell machbar sind. Dann muss man nur noch herausfinden, ob diese Routinen in “sinnvollen” Programmen verwendet werden (das erste Beispiel nutzen Laufzeitpacker und Kopierschutzprograme) und dagegenrechnen…
    Klar, prinzipiell kann das beliebig gut versteckt werden, aber wenn die “Versteckroutine” eine gewisse Größe überschreitet wirds doch auffällig 🙂 Zudem soll das Schadprogramm im Allgemeinen (Stuxnet mal ausgenommen) auf möglichst vielen Rechnern laufen, um sich verbreiten zu können. Das ist wie in der Biologie: wenn ein Virus zu spezifisch ist (oder zu schnell tötet) stirbt er schnell aus.

    @nihil: Klar kenn ich das. Damals in einer gekau… ähhh sicherheitskopierten Fassung gespielt. Hat mich aber nie wirklich dauerhaft gefesselt.

  10. #10 Dr. Webbaer
    Februar 15, 2012

    @engywuck
    Der Webbaersche Kenntnisstand ist jedenfalls, dass herkömmliche Mustererkenner scheitern, wenn Schadcode erneut verpackt wird und anders vorgehende Systemschützer das Problem haben mit deutlich mehr als einer ‘Handvoll Variantn’ konfrontiert zu sein, so dass sich diese auf bestimmte Zugriffspunkte beschränken (bspw. OS-Registry, falls es sowas noch gibt, lol, und das Sicherheits- oder Berechtigungssystem) und mäßig erfolgreich sind. – Dr. W bezog sich ursprünglich auf den drittletzten Absatz des Essays…

  11. #11 Martin
    Februar 16, 2012

    Wir werden also noch heute alle unsere Computer von Grund auf neu installieren. Das ist reiner Automatismus, Man sollte da nicht faul sein. Bei dieser Gelegenheit kann auch gleich die Hardware tiefgehender überprüft werden. Eine insgesamt sinnvolle Sache.

  12. #12 nihil jie
    Februar 16, 2012

    @Martin

    ich hab ein System-Image… muss nix neu installieren 😉 obwohl ich mir nur ein einziges mal im leben einen Virus gefangen habe… und den nur aus purer Unaufmerksamkeit. habe eben auf die falsche Datei geklickert… ich hatte gerade eilig und schwups ging es dann auch schon los… der fing gleich an etwas aus dem Netz nach zu laden.

    und früher… zur Dos-Zeiten. da schon öfters. wir beglückten uns mit Freunden öfters mal mit einem kleinen nervigen Virus. zb. hatte ein Freund von mir mir einen beschert der mir die Systemdateien in ein arj Archiv verschob… 🙂 was mich natürlich geärgert hat, aber dafür hatte ich mich ja auch gerecht. das dumme war nur, dass sich manche dieser spaßigen und durchaus nervigen Dinger manchmal auch etwas verselbständigt hat und somit auch den weg aus unseren Freundeskreis manchmal in die Welt bannte. naja… aber jetzt gibt es kaum noch Dos-Systeme im Einsatz.

    ich will damit aber jetzt nicht die Gefahr die von Viren ausgeht herunterspielen. es ist schon eine richtige Plage. vor allem weil die meisten Viren richtigen schaden anrichten, Daten ausspähen usw. und das ist für meine Begriffe wirklich kriminell. Ich befürworte so etwas auf keinen Fall.

  13. #13 BreitSide
    Februar 16, 2012

    Hehe, Frankenmalware…

    Hat aber nix mit dem fröhlichen Völkchen zu tun, das kein P und T kennt und die Meefischli in Marmaladaaamala neidud.

    Es gab auch mal einen Frankenfish, der sich als Neophyt (heißt das bei Tieren auch so) in amerikanischen(?) durchfraß.

    Kommt alles von Frankenstein (oder Fronkenstien wie in Marty Feldmans göttlicher Parodie).

    Hat auch nix mit der Lingua Franka zu tun…

    Aber “natürliche” Evolution von Malware, das hat schon was Faszinierendes. Daran könnten Biologen sicher Einiges lernen. Oder die Virenbekämpfer können einiges von den Biologen/Medizinern lernen.

    Das führt dann gleich zu der Frage, ob künstliche Intelligenz dann virtuellen Alzheimer kriegen kann. Das ist jetzt durchaus ernst gemeint. Auch wenn das kein Virus ist. Jedenfalls mE.

  14. #14 Stefan W.
    Februar 17, 2012

    Webbär hin oder her – so lange das Haltingproblem nicht gelöst ist kann man auch nicht heuristisch sagen, ob ein Code Schadcode enthält.

    Das ist ja nicht nur eine theoretischer Aussage, sondern Bemühungen Malware heuristisch zu erkennen sind ja weit über 10 Jahre alt, und so alt ist die Serie der Fehlschläge und Misserfolge.

    Deswegen ist wohl auch die Aussage so herzlich vage “aber wenn die “Versteckroutine” eine gewisse Größe überschreitet wirds doch auffällig”. Welcher User schaut denn auf die Größe eines Programms, und bei welcher Größe wird er misstrauisch? 1k, 1M, 10M? Eines ist die Größe offenbar nicht: Gewiss. Ungewiss ist sie, und kann nicht benannt werden.

    Btw.: Der namhafter Virenprogrammhersteller sollte vielleicht “Antivirenprogrammhersteller” genannt werden – ansonsten wüssten wir alle gerne, wer dieser namhafte Hersteller ist. 🙂

    Was außerdem nicht fehlen darf ist ein Hinweis darauf, dass auf Linuxdesktops seit Jahrzehnten keine Malware in the wild vorkommt.

    Für die, die Schwierigkeiten haben, einfache Sätze beim ersten Lesen zu erfassen: “In the wild” ist ein Gegensatz zu “im Labor” oder “theoretisch genauso möglich” oder “habe ich selbst bei mir schon programmiert”.

    “Desktop” ist ein Gegensatz zu “Server” und auch nicht gleichbedeutend zu “Android”.

  15. #15 rolak
    Februar 17, 2012

    moin, Stefan W., früher Vogel – es ging nicht um eine tatsächlich in ihrer Unfindbarkeit dem Halteproblem äquivalenten Korrelation(unbekannte Folge bits|Schadcode), sondern um die Wiedererkennung eines bereits erkannten und analysierten Schädlings trotz seiner Camouflage-Techniken.

    auf Linuxdesktops seit Jahrzehnten keine Malware in the wild

    Klar, deswegen sind derartige Maßnahmen ja auch völlig verschwendete Zeit…

  16. #16 rolak
    Februar 17, 2012

    btw:

    • Schmerzmittel sind gegen Schmerzen, auch ohne ein ‘Anti’, genauso wie die Unterscheidung zwischen ‘Virenprogrammhersteller’ und ‘Virenhersteller’ machbar sein sollte.
    • /namhaftes nennen/ Warum sollte Marcus den Anschein sich einschleichender Werbung aufkommen lassen, wenn es doch Rollatoren gibt?
  17. #17 Marcus Frenkel
    Februar 17, 2012

    @Stefan W.
    Ich habe den Virenprogrammhersteller einmal korrigiert, um den landläufig üblichen Begriff zu benutzen.

    Was die Viren “in the wild” auf Linux angeht: bitte einmal hier schauen. Dort findet sich zwar der Satz “However, few if any are in the wild (with the exception of Android malware), and most have been rendered obsolete by Linux updates.”, aber wir alle wissen, das man bei Wikipedia als Quelle vorsichtig sein muss; der Link ist auch eher als Literatursammlung gedacht. Schaue ich mir nämlich die dort aufgeführten Viren mit ihren Beschreibungen etwas näher an, dann sehe ich, dass die Viren durchaus auch regulär für Desktops vorkommen oder vorkamen, insbesondere innerhalb der “letzten Jahrzehnte”. Dass also seit Jahrzehnten keine Malware für Linux im Umlauf war, stimmt so nicht ganz. Dass es sehr wenig ist und das meiste durch Updates schnell verschwindet, steht auf einem anderen Blatt.
    (Die Widersprüchlichkeit im Wikipedia-Artikel würde ich übrigens – ohne böse Unterstellungen – auf eine unreflektierte Favorisierung von Linux durch den Artikelautoren schieben).

    Und den Viren-, Verzeihung, Antivirenhersteller habe ich in der Tat aus Werbegründen nicht genannt – im Artikel befindet sich allerdings ein Link, der, so man ihm denn folgt, Details diesbezüglich enthüllt.

  18. #18 Stefan W.
    Februar 17, 2012

    @rolak: Nein, es ging nicht um das Wiedererkennen einer Signatur, eines bekannten Virus, sondern eines für Viren typischen Programmteils, und auch wenn das manchmal gelingt, so gelingt es eben meistens nicht.

    Die Virenhersteller, die ich mir erlaube nicht Antivirenhersteller zu nennen, auch wenn es angeblich das gleiche bedeutet, haben ja auch einfaches Spiel: Sie installieren sich die AV-Software die im Umlauf ist, und basteln an ihren Viren solange rum, bis diese nicht mehr erkannt werden, und lassen sie dann erst vom Stapel.

    Die täglichen Updates der Virendatenbank wären nicht nötig, wenn die allgemeine, heuristische Erkennung funktionieren würde.

    Rkhunter ist übrigens ein Tool für Server. Man schreibt es dazu, und es wird dennoch nicht begriffen. Schade.

    Der Name wäre nur dann interessant gewesen, wenn es ein namhafter Virenprogrammhersteller gewesen wäre. 🙂

    Schaue ich mir nämlich die dort aufgeführten Viren mit ihren Beschreibungen etwas näher an, dann sehe ich, dass die Viren durchaus auch regulär für Desktops vorkommen oder vorkamen,

    Ah ja – und wer davon ist für den Desktop bestimmt, und hat diesen auch geschafft zu erobern?

    Ich mache seit bestimmt 10 Jahren Support in großen Linuxforen, und habe noch nie einen Fall gesehen, bei dem ein Virus einen Desktop befallen hat, so dass ein User die anderen hätte warnen können/müssen, oder um Rat zur Beseitigung gefragt hätte.

  19. #19 Marcus Frenkel
    Februar 17, 2012

    Ah ja – und wer davon ist für den Desktop bestimmt, und hat diesen auch geschafft zu erobern?

    Ich mache seit bestimmt 10 Jahren Support in großen Linuxforen, und habe noch nie einen Fall gesehen, bei dem ein Virus einen Desktop befallen hat, so dass ein User die anderen hätte warnen können/müssen, oder um Rat zur Beseitigung gefragt hätte.

    Ich habe nichts über die “Erfolgsquote” und Gefährlichkeit der Linux-Viren gesagt – der Link war eine reine Information darüber, dass sie existieren. In verschiedenen Virendatenbanken gibt es Einträge über sie, z.B. hier, hier, hier, hier, hier, hier oder hier (und ja, die ersten beiden sind Trojaner, ich weiß).

    Und nur, weil Sie seit 10 Jahren Support für Linux bieten und in der Zeit noch mit keinem Virenbefall zu tun hatten, heißt das ja auch nicht, dass es für Linux keine Viren gibt. Es sind weitaus weniger als für Windows, und die paar vorhandenen sind, zumindest für die Desktop-Version, mehrheitlich harmlos, aber es gibt sie – nur darauf wollte ich hinaus.

  20. #20 Stefan W.
    Februar 17, 2012

    Schön – das sind viele Links. Was taugen sie? Ich sehe da keinen Hinweis auf Desktop-PCs.

    Allerdings finde ich dies:

    Number of Infections: 0 – 49
    Number of Sites: 0 – 2

    köstlich – das soll also ‘in the wild’ sein? Das sieht mir nicht aus, als wären die in der Lage sich zu verbreiten. Wenn ganze 2 Sites betroffen sind, dann riecht das mehr nach Handarbeit.

    Ich habe nichts über die “Erfolgsquote” und Gefährlichkeit der Linux-Viren gesagt

    Aber ich. Ich sagte es, dass es keine Desktopmalware in the wild gab und gibt.

    Für Server gibt es das sehr wohl, weil es viel Serversoftware gibt, die Fehler hat, die man von außen ausnutzen kann, weil Server ja von Hause von außen ansprechbar sein müssen. Wenn also ein PHP-BB Forum einen Bug hat, den man ausnutzen kann, dann kann man nach solchen Foren suchen, den Bug ausnutzen, und versuchen so einen Schädling zu platzieren.

  21. #21 Dr. Webbaer
    Februar 17, 2012

    Viren sind ohnehin ein Relikt aus der Vergangenheit, es geht hier schon um Malware, die entweder Serversysteme direkt, einzeln oder im Verbund, platt macht oder um den Befall von Arbeitsstationen, die dann für Bot-Netze, als sog. Vic-Socks für “Transaktionen” und natürlich auch für das Ausforschen geldwerter Daten beim Endnutzers genutzt wird.

    Und hier ist nach Kenntnis des Webbaeren kein effektiver Schutz gegeben – wenn man einmal das Hinterherrennen der Mustererkenner nicht als solchen anerkennen möchte.

  22. #22 rolak
    Februar 17, 2012

    Hallo Stefan W., alter Gedankenleser – woher weiß er denn, worum es mir weiter oben ging?

    Rkhunter … für Server. Man schreibt es dazu, und es wird dennoch nicht begriffen. Schade.

    Erstaunlich, dann muß ich mir wohl die erfolgreiche Installation auf meinen NetBSD-Desktop (bzw Shelfbottom) eingebildet haben. Sachen gibts^^ aber da fehlen mir mit Sicherheit die 10 Jahre Linuxforum…

  23. #23 Stefan W.
    Februar 17, 2012

    @rolak: Du willst uns jetzt aber nicht NetBSD als eine Linuxspielart verkaufen.

    Und was hast Du installiert? Als Opfer Malware – wie konnte das passieren? Oder rkhunter? Was willst Du damit sagen? Soll uns das jetzt überraschen, dass das geht?

  24. #24 rolak
    Februar 17, 2012

    Wie soll ich etwas Kostenloses verkaufen? Von allem, was Du offensichtlich falsch verstehen willst:

    Was willst Du damit sagen?

    Es hatte sich hier im thread mal jemand aufgeblasen, die Nennung Rkhunters sei ein Zeichen für Unverständnis, da er doch extra geschrieben hätte ‘nicht für server’ und Rkhunter für server sei.
    Zur Vermeidung von Schäden habe ich nur die Luft rausgelassen. Das lasse ich jetzt sein.

  25. #25 Sven Türpe
    Februar 17, 2012

    Wie soll ich etwas Kostenloses verkaufen?

    So zum Beispiel: http://www.youtube.com/watch?v=7_TsPrlj7Zs

  26. #26 Dr. Webbaer
    Februar 18, 2012

    Wie soll ich etwas Kostenloses verkaufen?

    Diese Analyse einer bekannten Fachkraft des deutschen Staatsfernsehens darf hier nicht fehlen: http://www.zdf.de/ZDFmediathek/beitrag/video/1155442/Uebrigens-…-zur-Sendung-vom-06.10.2010

  27. #27 rolak
    Februar 18, 2012

    Na daß ihr beiden den Kern nicht zu fassen bekommt und sofort sinnlos schwafelt, ist, wenn ich den Erwartungswert dieses Tuns auf einer Skale von 0(nie) bis 1(sicher) einsortieren sollte, eine glatte 23 wert.

  28. #28 Dr. Webbaer
    Februar 18, 2012

    @rolak
    Benennen Sie doch einfach mal freundlich Ihren “Kern”.

    Dass Mustererkenner wirtschaftlich wichtige Dienste leisten, wurde zumindest von hier nicht angezweifelt.

    MFG
    Dr. Webbaer (der sich ansonsten aber gerne über die in aktuellen OSen implementierte Sicherheit amüsiert – btw: es scheint ja ein wenig besser geworden zu sein…)

  29. #29 rolak
    Februar 18, 2012

    Da steht nicht ‘..etwas auch kostenlos Erhältliches verkaufen’; wenn ich etwas verkauft habe, war es nicht kostenlos. Es sei denn, er fühle sich für dumm verkauft.

  30. #30 Jürgen
    Februar 21, 2012

    Das ist ein durchaus interessanter Gedanke das sich die vereinzelten Schädlinge gegenseitig infizieren , sehr interessanter Artikel.

  31. #31 Dr. Webbaer
    Februar 21, 2012

    Fast könnte man sagen, dass der Wurm einer evolutionstechnischen Mutation unterliegt, welche seine Überlebenschancen erhöht.

    Was wohl eine Kernthese nahelegt, die sich i.p. Evolutionärer Programmierung/Algorithmen durch die letzten Artikel zieht; allein, der Webbaer bleibt diesbezüglich skeptisch und sieht etliche Merkmale evolutionärer Entwicklung nicht gegeben, weder bei den beobachteten Prozessen, noch bei der “Evolutionären Programmierung/Algorithmen” an sich.

    MFG
    Dr. Webbaer