Malware verbreitet sich über Buffer Overflows und Webseiten

So kommen Viren, Trojaner und Würmer ins Netzwerk

14.06.2007 | Autor / Redakteur: Peter Riedlberger / Stephan Augsten

Attachments von E-Mails, deren Absender man nicht kennt, darf man nicht öffnen. Das weiß mittlerweile fast jeder PC-Laie. Aber das direkte Ausführen einer Datei mit Schadcode ist nur eine von mehreren Infektionsmöglichkeiten, und noch dazu die plumpeste. Letztlich muss ein Virenautor erreichen, dass sein illegitimer Code zur Ausführung gelangt, und dafür gibt es elegantere Tricks. Um den eigenen Schutz zu verbessern, muss man die Verbreitungswege kennen.

Die geläufigste Art und Weise, ein Programm illegitim zur Ausführung zu bringen, ist ein Buffer-Overflow-Exploit. Kaum ein Programm kommt ohne Eingaben aus; auf Basis dieser Eingaben wird eine Ausgabe erzeugt. Eine solche Eingabe kann ein Geburtsdatum sein (das Programm errechnet dann die Zahl der Tage, die seitdem verstrichen sind) oder aber ein BMP-Bild (das Programm zeigt dieses Bild dann auf dem Bildschirm an).

Was aber, wenn fehlerhafte Daten übertragen werden, also etwa nicht 14.06.1962, sondern a671.NM$a89970761908Cnbva als Geburtsdatum? Wenn das Programm nicht prüft, ob die Eingabe im richtigen Format vorliegt (und zudem weitere Schlampereien gegeben sind), dann wird die Eingabe in den Puffer geschrieben.

Ist die Eingabe zu lang, dann wird in bestimmten, wichtigen Programmiersprachen einfach der angrenzende Bereich mitüberschrieben – in dem sich vielleicht Software-Routinen, Rücksprungadressen u.ä. befanden. So kann eine Routine eingeschleust werden, die zur Ausführung gelangt und damit das Schadprogramm eindringen lässt.

Auch wenn die Einzelheiten kompliziert sind, reicht es zu wissen, dass sehr viele Programme theoretisch von Buffer-Overflow-Exploits bedroht sind. Wird eine simpel auszunutzende Lücke erkannt spricht man von einer Vulnerability, die schnellstens per Software-Update zu schließen ist. Solange dies nicht erfolgt, können präparierte Eingaben eine Vireninfektion auslösen. Zahlreiche Programme – praktisch die ganze Microsoft-Office-Suite, aber auch Mediaplayer, Virenscanner oder andere Applikationen – wiesen oder weisen solche Vulnerabilties auf.

Seite 2: Infektionen durch Drive-By-Angriffe

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2005451 / Sicherheitslücken)