Die Tricks der Virenentwickler Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


01.10.2010 Arne Arnold*

Die Tricks der Virenentwickler

Manche Viren sind hoch entwickelt und treten selbsttätig in Aktion. Andere warten darauf, dass ein argloser Computerbesitzer sie startet. Wir zeigen, wie Sie Ihren Rechner vor allen Viren schützen.

Ziel der Virenentwickler ist immer das gleiche: Sie wollen mit ihrem Schadprogramm möglichst viele Computer unter ihre Kontrolle bringen. Dann können die Kriminellen Konto-, Kreditkarten- und Anmeldedaten stehlen, den PC zum Versenden von Massen-E-Mails missbrauchen oder den Besitzer unter Druck setzen, damit er eine nutzlose Schutz-Software kauft. Darum müssen Computerbenutzer eine Vireninfektion des PCs unbedingt verhindern.

Einer der derzeit prominentesten Computerviren trägt den Namen "Conficker". Windows-Erfinder Microsoft und viele Sicherheitsspezialisten bekämpfen das Schadprogramm bereits seit Anfang 2009. Trotzdem ist es noch auf rund 6,6 Millionen PCs aktiv (Stand: Ende März 2010) und wartet auf Kommandos von seinen Entwicklern. So schätzt die Antiviren-Firma Symantec, die mit anderen Sicherheitsspezialisten die Virenverbreitung untersucht.

VIREN VERBREITEN SICH ÜBER USB-STICKS Conficker ist so "erfolgreich", weil er nicht nur das Internet als Verbreitungsweg nutzt. Er kann sich vielmehr auf jeden Wechseldatenträger kopieren, der an einem verseuchten PC angeschlossen ist, vorzugsweise auf USB-Sticks. Wird ein befallener Stick an den Windows-Computer angesteckt, taucht scheinbar das gewohnte Fenster auf, in dem sich auswählen lässt, was mit dem Datenträger oder den darauf gespeicherten Dateien geschehen soll.

Allerdings hat Conficker dieses so genannte "Autoplay"-Fenster (bei deutschem Windows: "Automatische Wiedergabe") manipuliert. Er tarnt sein Installationsprogramm verwechslungsträchtig mit dem üblichen Symbol zum Öffnen des Windows-Explorers. Nur wer genauer hinsieht, erkennt, dass beim Klick darauf nicht der Explorer aktiv wird. Glück für Benutzer einer deutschen Windows-Version: Es sind bisher nur englischsprachige Varianten von Conficker verbreitet. Wenn im "Automatische-Wiedergabe"- Fenster plötzlich ein englischer Befehl auftaucht, sollte die Täuschung auffallen. Conficker konnte sich mit dem USB-Trick vor allem in die Computernetzwerke vieler Firmen einschleichen. Denn auf diesem Weg muss er nicht am meist gut geschützten zentralen Internetzugang vorbei. Mittlerweile haben mehrere Schädlinge seine Fähigkeiten kopiert. Der Sicherheitsspezialist Kaspersky meldet in seiner Viren-Top-20 vom März 2010 drei, vom April noch eine grassierende Virus-Variante, die sich über USB-Sticks verbreiten kann.

Abwehr: Keiner der aktuellen USB-Viren wird automatisch beim Anstecken eines verseuchten USB-Sticks aktiv. Es erscheint immer zuerst das manipulierte Windows-Standardfenster zu neu angeschlossenen Sticks. Ihr PC ist nicht in Gefahr, wenn Sie dieses Fenster ignorieren und über das "Schließen"-Kreuz oben rechts verschwinden lassen. In Windows 7 gibt es dieses Meldungsfenster zwar immer noch, doch lässt sich darin kein Programm auf dem Stick mehr starten, also auch kein Virus. Wollen Sie die "Automatische Wiedergabe"-Funktion für alle Wechseldatenträger abschalten, geht das mit der englischsprachigen Freeware Panda USB Vaccine. Sie müssen das Programm nur auf den Rechner entpacken. Nach dem Start des Programms genügt ein Klick auf "Vaccinate Computer".

BETRUGS-SOFTWARE WIRD IMMER RADIKALER Die Virenmafia hat einen leichten Weg gefunden, um an das Geld von Computerbesitzern zu kommen: Sie erschrecken arglose Internetnutzer mit der Warnung vor einem Virus, der angeblich auf dem PC gefunden wurde. Das geschieht meist in plötzlich erscheinenden Fenstern, die wie Windows-Systemwarnungen aussehen. In Wirklichkeit handelt es sich um simple Werbefenster, wie sie im Internet üblich sind. Darin wird prompte Hilfe in Form einer kostenlosen "Antiviren-Software" angeboten, mit der man den Computer genauer untersuchen solle. Dieses betrügerische Pseudo-Schutzprogramm meldet in der Folge weitere Viren. Damit es die Schädlinge löschen kann, sei nun aber der Kauf einer Vollversion nötig.

Leider fallen viele Internetnutzer auf diese Betrugsmasche herein: Sie zahlen eingeschüchtert für ein Programm, das im besten Fall gar nichts tut, im schlimmsten Fall aber echte Viren auf den Computer schleust. Anfang 2010 tauchte vermehrt Betrugs-Software auf, die zusätzlich zu den Warnmeldungen vor angeblichen Viren auch den Zugriff auf beliebte Internetseiten wie Youtube und Facebook verhinderte. Schuld an der Blockade seien die gemeldeten Viren. So sollen die Opfer noch stärker zum Kauf der "Vollversion" gedrängt werden.

Abwehr: Sicherheitsprogramme sollten Sie nur installieren, wenn diese von einem vertrauenswürdigen Anbieter stammen. Beispielsweise G-Data Internet Security 2010 als 360-Tage-Version. Das Sicherheitspakt schneidet in den PC-WELT-Tests seit Jahren ausgezeichnet ab.

PDF-DATEIEN SIND PERFEKTE VIRENTRÄGER Beim Thema Viren denken viele zunächst an EXE-Dateien, die beispielsweise per E-Mail versendet werden. Dass Kriminelle Viren aber nicht nur durch solche Programme, sondern auch durch Musik-, Foto- und andere Dateien unter die Leute bringen können, ist nicht so bekannt. Vor allem das verbreitete PDF-Format wurde in den letzten Monaten extrem häufig als Schädlingsvehikel benutzt. Die Sicherheitsfirma Scansafe meldet, dass im vierten Quartal 2009 rund 80 Prozent aller Virenangriffe über PDF-Dateien stattfanden. Der Adobe Reader, das meistgenutzte Anzeigeprogramm für PDF-Dateien, erfüllt alle Voraussetzungen für einen Virenangriff: In ihm werden immer wieder Sicherheitslücken bekannt, die sich ausnutzen lassen. Zudem ist er auf fast allen PCs installiert. Außerdem laden viele Computerbesitzer Aktualisierungen für den Adobe Reader nur mit Verzögerung herunter. Das ist allerdings fahrlässig. Denn allein 2009 gab es zehn Aktualisierungen, die 107 teils gravierende Sicherheitslücken schlossen.

Manipulierte PDF-Dateien als Träger für einen Virus haben für Entwickler von Schadprogrammen noch einen weiteren Vorteil: Sie lassen sich mit so genannten Viren-Baukästen erstellen. Diese produzieren auf Knopfdruck Tausende von Varianten ein und desselben Schädlings. Die PDF-Varianten unterscheiden sich meist nur um ein einziges Bit. Doch das genügt schon, damit jede einzelne Abart einen anderen "Fingerabdruck" hat. Antiviren-Software kann solche gefährlichen PDF-Dateien nur über ausgefeilte Analyseverfahren blockieren. Die Programmierabteilungen der Hersteller von Schutz-Software würden den Virenentwicklern ob der Schädlingszahl sonst hoffnungslos mit Aktualisierungen hinterherhecheln.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • ELO Digital Office AT GmbH

    ELO Digital Office AT GmbH Mobile Lösungen und Applikationen, Dokumentenmanagement und ECM, Übernahme von Softwareprojekten, Systemintegration und Systemmanagement, Programmierung, Individual-Softwareentwicklung, IKT-Consulting,... mehr
  • SNP AUSTRIA GmbH

    SNP AUSTRIA GmbH Qualitätssicherung, Kaufmännische Software (ERP), Tools, Programmiersprachen, Datenkonvertierung, Übernahme von Softwareprojekten, Systempflege- und Wartung,... mehr
  • Dicom Computer VertriebsgesmbH

    Dicom Computer VertriebsgesmbH WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzkomponenten, Mobile Lösungen und Applikationen,... mehr
  • Rittal GmbH

    Rittal GmbH Netzwerk-Management, Netzkomponenten, Zugangs- und Zutrittskontrolle, Unterbrechungsfreie Stromversorgung (USV), Überwachungssysteme, Notfalls-Rechenzentren, Netzwerk- und Systemüberwachung,... mehr

Hosted by:    Security Monitoring by: