Cybercrime

Dieter Kochheim, Cybercrime - 41 -rufen). Verantwortlich dafür sind in erster Linie diePfadeintragungen in der Registry, die für Autostart-Programme vorgesehen sind, oder die Programme,die sich in dem Autostart-Verzeichnis befinden.Beide werden von modernen Betriebssystemen imVerein mit Firewalls und Virenscannern argwöhnischüberwacht. Das bedeutet aber nicht, dass dieInfektion dadurch ausgeschlossen ist. Gut getarnteMalware setzt auf andere, als gutwillig eingestufteProgramme auf und schleicht sich damit ein. Dazueignen sich besonders auch die "gutwilligen" Programmbibliotheken(DLL-Injection 198 ), die die Objekteund andere Umgebungsvariablen verwalten,auf die die Anwenderprogramme dann zurück greifen.Beim Systemstart wird meistens auch die Netzverbindunggeprüft, indem der PC mit dem nächstenNetzknoten 199 Kontakt aufnimmt (Router 200 , Switch201, Wireless LAN 202 ). Dadurch wird das Systemnach außen geöffnet. Bei den genannten Gerätenhandelt es sich selber um "intelligente" informationsverarbeitendeSysteme 203 , die ihrerseits infiziertsein und den Startvorgang zur Infiltration nutzenkönnen 204 .Der Zugriff auf das Internet erfolgt nicht nur dadurch,dass der Anwender seine E-Mails oder imBrowser Webseiten aufruft. Viele Programme machendas auch selbsttätig, um nach neuen Meldungen,Virensignaturen oder Programmversionennachzufragen. Solche vom PC zugelassenen Netzkontaktelassen sich prinzipiell auch von der Malwaremissbrauchen.Eine Variante davon ist das DNS-Poisoning 205 , beidem die lokale Hostdatei manipuliert wird, um unbemerktauf präparierte Internetseiten umzuleiten.Diese Methode ist besonders im Zusammenhang198WP, DLL-Injection199CF, Angriffe aus dem Netz, 2007200WP, Router201WP, Switch (Computertechnik)202WP, Wireless Local Area Network - WLAN203CF, Telefonanlage, Server, 2007204Trojaner konfiguriert Router um, Heise online13.06.2008205CF, Massenhacks von Webseiten werden zur Plage,14.03.2008mit dem Phishing und der Infiltration mit Botsoftwarebekannt geworden.A.3 4.3 SystemstartDie zentralen technischen Komponenten des PCssind der Prozessor 206 , der eigentliche "Rechner",der Arbeitsspeicher 207 (auch Hauptspeicher)und der Massenspeicher 208 (Festplatte).Der Prozessor wird für die datentechnischen Verarbeitungsvorgängebenötigt. Er führt den Programmcodeaus, liest Daten, verarbeitet sie, leitetsie zu anderen Schnittstellen, z.B. zum Bildschirm,und speichert Dateien ab. Zur Beschleunigungseiner Arbeitsoperationen verfügt er immerhäufiger über eigenen Cachespeicher (Zwischenspeicher),der sich auch für eine Infiltrationeignet 209 .Anders ist das beim Arbeitsspeicher. Beim Pufferüberlauf210 (buffer overflow) werden gezielt bestimmteSpeicheradressen angesprochen, um derenKapazität zu überlasten. Dabei kommt es zum"Überlauf", indem die angelieferten Daten zu anderenAdressbereichen verlagert werden. Dasführt meistens zum Systemabsturz, kann aberauch dazu genutzt werden, Malwarecode einzuschleusen.Anspruchsvolle technische Erweiterungen sindhäufig wie ein selbständiger PC im PC konstruiert.Das gilt vor Allem für hochwertige Grafik- undVideokarten, die über eigene Prozessoren und Arbeitsspeicherverfügen und damit das System imÜbrigen entlasten.Je verbreiteter solche Karten sind, desto attraktiverwerden sie für die Malware, um böswilligeVerarbeitungsprozesse, die im Hauptsystem zuauffällig wären, hierhin zu verlagern.Dasselbe Vorgehen ist auch bei vernetzten Syste-206WP, Prozessor (Hardware)207WP, Arbeitsspeicher208WP, Massenspeicher209Hacker finden einen neuen Platz, um rootkits zuverbergen, tecchannel 10.05.2008210WP, Pufferüberlauf