Olympische Spiele in Peking, Amoklauf in Japan, Obamas Präsidentschaftwahl oder einfach bloß die jüngsten Anekdoten von „Skandalnudel“ Paris Hilton – wer hat sich nicht schon einmal durch die vielseitigen Clips, Videos oder Trailer geklickt, die im Internet zu aktuellem Zeitgeschehen, Katastrophen, Klatsch und Tratsch zu finden sind?

Marktforschungsinstitute bestätigen, dass 75% aller Internetnutzer im Jahr 2008 ein Online-Video aufgerufen haben. Dies verschafft Internet-Kriminellen einen verstärkten Anreiz, verlockende Multimedia-Dateien als Lockmittel für die Verbreitung ihrer Schadcodes zu nutzen. Panda Security meldete bereits vom zweiten zum dritten Quartal dieses Jahres einen allgemeinen Malware-Anstieg von 70%, registrierte 330.000 neue Zombie-Rechner pro Tag und deckte ein Malware-Tool für originalgetreue YouTube-Fälschungen auf.

Mit den einfachsten Mitteln des sogenannten „Social Engineering“ nutzen Internetkriminelle die gesunde Portion Neugier der unbedarften User gezielt aus und erreichen so in kürzester Zeit eine Vielzahl von Anwendern. Dazu gehört vor allem die Verbreitung von Spam-Mails, denen Videos angehängt werden. Mit brisanten News, peinlichen Promi-Szenen, nie gesehenen Privataufnahmen, detaillierten Hintergrundinformationen, spannenden Augenzeugen-Berichten oder vielem mehr versuchen sie dann, ihre Opfer zum Download infizierter Multimedia-Dateien zu überreden. Ist das Video einmal heruntergeladen, kann der Schädling ins System eindringen. Je nach Exemplar wird er dort zur Daten- und Passwort-Spionage genutzt, legt das System lahm, löscht wichtige Dateien oder zieht andere, meist kostspielige Konsequenzen nach sich.

Allein im dritten Quartal 2008 wurden weltweit 330.000 neue Zombie-Rechner pro Tag für den massenhaften Spam-Versand aktiviert. Diese Zahlen gehen aus dem aktuellen Spam-Quartalsbericht hervor, den Commtouch und Panda Security gemeinsam veröffentlicht haben. Demzufolge wurde ein Großteil aller Spam-Mails von Zombie-Computern versendet. Zombies sind Rechner, die mit so genannten Bots infiziert sind. Diese Malware-Art ermöglicht es Cyber-Kriminellen, die attackierten PCs an Botnetze, also ganze Gruppen von mehreren, miteinander verbundenen Bots, anzuschließen und beispielsweise für den Versand von Werbemüll zu missbrauchen. Der Hauptunterschied zu klassischer Malware ist, dass erst dieser Zusammenschluss der einzelnen Systeme zu einem kriminellen Netzwerk die eigentliche Gefahr darstellt. Um ihre Existenz vor den Blacklists zu verbergen, ändern Zombie-Rechner kontinuierlich ihre IP-Adresse, mit der man sie identifizieren kann. Von Juli bis September betrug die durchschnittliche Lebensdauer der IP von über 55% aller Zombies weltweit einen einzigen Tag. In Deutschland veränderten sogar knapp 80% aller Zombie-Rechner in weniger als 24 Stunden ihre IP und sind somit am schwersten zu identifizieren.

Um immer weniger Verdacht aufkommen zu lassen, sind die Video-Links in den Mails kaum mehr von einschlägigen Web-Adressen zu unterscheiden.

Im September dieses Jahres entdeckte Panda Security ein Malware-Tool, mit dem sich Fälschungen von YouTube erstellen lassen. Die bekannte Plattform für Multimedia-Dateien gehört zu den beliebtesten Webseiten für das Betrachten von Clips, Trailern und Co. Allein im August 2008 riefen rund 95% aller Online-Video-Konsumenten ihr Video über diese Adresse auf. 

Das Tool mit dem Namen „YTFakeCreator“ wird über diverse Hacker-Foren angeboten. Auf einfache Art lassen sich auf diese Weise Webseiten erstellen, die perfekte Imitate der YouTube Seite darstellen. Klickt der Anwender auf den Link, öffnet sich nicht das angepriesene Video, sondern eine Fehlermeldung. Diese informiert ihn, dass er zur Wiedergabe des Videos ein Codec- oder ein Adobe-Flash-Update benötigt und er wird aufgefordert, dieses herunterzuladen. Folgt er der Aufforderung, wird er statt dessen die Schadsoftware auf seinem Rechner installieren.

Emsi Software, Anbieter von Sicherheits-Software, greift eine aktuelle Diskussion aus der Welt der Computersicherheit auf: Ist es überhaupt sinnvoll, einen mit Schadsoftware infizierten Rechner zu reinigen? Kann der Anwender einem solchen System überhaupt noch einmal vertrauen? Um diese Frage zu klären, muss beleuchtet werden, ob eine vollständige Säuberung technisch überhaupt möglich ist.

Bei den kleinsten Störungen am PC mutmaßen die Anwender bereits das Wirken eines Virus. Der Drucker funktioniert nicht? Sicherlich ein Virus! Die Internet-Verbindung wirkt so behäbig? Sicherlich funkt ein Spyware-Programm gerade die persönlichen Daten des Anwenders in ein Land, das auf keinem europäischen Atlas mehr zu finden ist!

Die meisten Anwender haben nur wenig Wissen darüber, wie ein Schadprogramm aufgebaut ist, wie es funktioniert und was es auf dem PC anrichten kann. Sie installieren einfach ein Schutzprogramm und delegieren alle Verantwortung an dieses Programm. Die IT-Sicherheitsszene gibt sich mit diesem Schutz aber nicht zufrieden und fragt sich zurzeit selbst sehr provokant: Lohnt es sich überhaupt, einen infizierten Rechner zu reinigen?

Übersetzt bedeutet das nicht, dass die Schadprogramme so harmlos sind, dass der PC-Anwender sie getrost ignorieren kann. Stattdessen steht die Frage im Raum, ob es den modernen Schutzprogrammen überhaupt möglich ist, ein befallenes System restlos zu säubern oder ob es nicht besser wäre, es komplett neu aufzuspielen. Um das zu entscheiden, muss man sich ein wenig mehr mit der Materie beschäftigen.

Wie wirken Viren, Trojaner und Spyware-Tools?

Viren benötigen andere Wirt-Anwendungen, um funktionieren zu können. Ein Virus hängt sich an ein “gutes” Programm an, indem es den eigenen Virencode in eine bereits vorhandene, ausführbare Datei einbaut. Erst wenn das gutartige Programm geladen wird, kann das Virus aktiv werden und weitere Programme befallen.

Deutlich bedeutsamer im täglichen Malware-Ansturm auf die eigene Festplatte sind inzwischen die Trojaner, Backdoors, Bots und Würmer. Trojaner und Bots sind eigenständige Programme, die sich in den Tiefen des Systems verstecken und hier möglichst kein Aufsehen erwecken möchten. Sie sind dafür da, einem Hacker die Hintertür zum PC zu öffnen, sodass dieser die Kontrolle über den Rechner übernehmen kann - etwa für den heimlichen Massen-Versand von Spam-Mails. Trojaner und Bots sind nur dann gefährlich, wenn sie in den Arbeitsspeicher geladen wurden. Sie nutzen deswegen Autostartfunktionen, die sicherstellen, dass sie bei jedem Boot-Vorgang wieder mit aufgerufen werden.

Spyware, Adware, falsche Sicherheits-Software: Spyware-Programme belauschen den Anwender heimlich und zeichnen etwa die Bankverbindung und die Zugangsdaten auf, um sie dann unbemerkt an die Online-Mafia zu übermitteln. Diese Spionageprogramme werden immer raffinierter programmiert. So starten sie manchmal mehrere aktive Prozesse, die sich gegenseitig überwachen. Wird einer der Prozesse beendet, so kann er über einen anderen Prozess gleich wieder neu gestartet werden. Falsche Sicherheitsprogramme geben vor, Jagd auf Schadroutinen zu machen - dabei gehören sie selbst in diese Kategorie. Einige von ihnen injizieren sich in essentielle Systemprozesse wie z.B. in die winlogon.exe. Beim Versuch, die Schadprogramme zu entfernen, kommt es dann zum Systemabsturz.

Die Rootkits sind am gefährlichsten. Diese Schadprogramme manipulieren das Betriebssystem so sehr, dass sie für das System selbst unsichtbar werden - sie werden einfach nicht mehr im Datei- oder Prozessmanager angezeigt. Somit können auch die Antiviren-Programme diese Rootkits nicht mehr aufspüren. Sie schaffen es sogar, Registry-Einträge, offene Ports und aktive Prozesse unsichtbar zu machen.

Desinfektion: Reinigung manchmal mit Problemen behaftet

Sind die Schadprogramme erst einmal auf den eigenen Rechner gelangt und hier aktiviert worden, so steht die Frage im Raum, ob sie sich auch wieder entfernen lassen - und zwar restlos und ohne unerwünschte Rückstände.

Wunderbar: Bei einfach gestrickter Malware ist es mit relativ hoher Sicherheit möglich, die Schadsoftware restlos vom System zu entfernen. Bei Viren ist es am einfachsten, die befallenen Dateien zu löschen. Dabei kann es sein, dass die infizierten Programme anschließend nicht mehr funktionieren. Kein Problem: Die lassen sich ja leicht neu aufspielen. Bei Trojanern reicht es aus, die aktiven Prozesse zu schließen, die Autostart-Einträge zu beseitigen und die ausführbaren Trojaner-Dateien zu löschen. Klassische Spyware-Programme können ganz einfach deinstalliert werden. So gesehen ist es auch bei ihnen möglich, das System nach einem Fund schnell wieder in den Ursprungszustand zurückzuversetzen.

Anders sieht das bei moderneren Spyware-Programmen oder bei falschen Antiviren-Programmen aus. Diese graben sich so tief in das System ein, dass Spezialwerkzeuge nötig werden, die diese Dateien noch vor dem eigentlichen Boot-Vorgang löschen. Diesen Infektionen ist nur sehr schwierig auf endgültige Weise beizukommen. Das gilt auch für die Rootkits, die nahezu perfekte Tarneigenschaften besitzen. Abgesehen davon, dass kein Anwender genau sagen kann, ob er auch wirklich alle Rootkits auf seinem PC aufspüren kann: Kann er denn auch sicher sein, dass ein Rootkit vollständig entfernt wurde? Die Hacker finden immer neue Wege, um ihre Schadsoftware zu verstecken.

Oft genug ist es auch so, dass eine Malware zwar entfernt wird, durch sie verursachte Änderungen am System aber bestehen bleiben. So kann es sein, dass Ports geöffnet wurden, die einem Hacker dann trotzdem den Angriff von außen auf das System erlauben.

Ist der PC erst einmal infiziert: System neu aufsetzen!

Emsi Software aus Österreich bietet Schutz-Software für den Windows-PC an. Geschäftsführer Christian Mairoll: “Aus unserer Erfahrung heraus lassen sich gerade Rootkits und die falschen Antiviren-Programme nicht mit letzter Sicherheit von den infizierten Rechnern entfernen. Wir raten unseren Kunden deswegen, nach der Erstinstallation des Rechners mit allen wichtigen Programmen ein Backup-Image der ganzen Partition anzulegen. Das kann dann im Schadensfall auf eine frisch formatierte Festplatte zurückgespielt werden.”

Wichtig ist natürlich, dass trotz aller Bedenken ein Schutzprogramm auf dem Rechner vorliegt, das Malware sofort anzeigen kann, sobald sie auf den eigenen PC gelangt. 

Haben Sie einen älteren Verwandten? Vielleicht so um die 70? Und hat dieser Verwandte schon einmal - für Sie völlig überraschend - den Wunsch geäußert, einen PC kaufen zu wollen? Falls ja, wird Sie der folgende, natürlich nachsynchronisierte Dialog nicht überraschen:

“Du musst aber auch an den Virenschutz denken, wenn Du so einen PC kaufst.”

“Wieso? Ich will doch nur ab und an mal ins Internet, ein Hotel suchen oder so etwas.”

“Aber Dein Rechner könnte infiziert werden - die Spanne reicht da von Beschädigungen über das Ausspionieren des Rechners bis hin zu kriminellen Aktivitäten, zu denen der PC missbraucht werden kann.” 

“Ach, das macht doch nichts, wenn die auf meinen Namen etwas bestellen”.

Da bleibt man dann doch sprachlos zurück.

Manche Nachrichten werden nicht besser oder richtiger, auch wenn Sie überall zu lesen sind. So auch die derzeit kolportierte Meldung, der Computervirus würde in diesem Jahr seinen 25 Geburtstag feiern. Erschaffen habe den ersten Virus, so die diversen Berichte, Fred Cohen. Was man dazu sagen soll? Vielleicht ‚herzlichen Glückwunsch’? Nicht wirklich, den Berichte wie dieser hier sind schlichtweg falsch.

Der erste Computervirus, der Elk Cloner,stammt nämlich bereits aus dem Jahr 1982. Er wurde vom damals 15–jährigen Rich Skrenta für den Apple II geschrieben. Herr Cohen darf allerdings für sich beanspruchen, den Begriff „Computervirus“ geprägt zu haben – allerdings im Jahr 1984. In seiner Doktorarbeit „Computer Viruses - Theory and Experiments“ definiert er eine noch heute gültige Beschreibung vom Wesen des Computervirus:

„We define a computer ‘virus’ as a program that can ‘infect’ other programs by modifying them to include a possibly evolved copy of itself. With the infection property, a virus can spread throughout a computer system or network using the authorizations of every user using it to infect their programs. Every program that gets infected may also act as a virus and thus the infection grows.“

In seiner Doktorarbeit beschäftigte Cohen sich mit Software, die andere Programme veränderte, indem sie sich selbst darin einbaute. Aufgrund der Analogie zu biologischen Viren prägte Cohen den bis heute gültigen Begriff Computervirus.

Heute hat der Computervirus den Bereich der Wissenschaft und der weitgehend harmlosen Experimentierfreude längst verlassen – die Klientel, die heute Viren schreibt, ist eher unter den Begriff Cybergangster einzuordnen und hat überwiegend eindeutige finanzielle Interessen. Auch gibt es nicht mehr „den“ Computervirus – die Bezeichnung hat sich zu einem Gattungsbegriff gewandelt, unter dessen Dach sich zahlreiche Spezies versammeln, so etwa Bootviren, Makroviren, Würmer, Trojanische Pferde, Polymorphe Viren, Retroviren und Rootkits, um nur einige zu nennen.

Als erster Virus für IBM-kompatible PCs gilt übrigens der im Januar 1986 aufgetauchte Schädling mit dem Namen “Brain”.

Ich habe mal wieder Post bekommen. Nun ist das an und für sich nichts Ungewöhnliches, aber diese E-Mail mit dem Betreff „Wichtiger Hinweis NR64654  Proinkasso GmbH“ fand ich doch sehr spannend. Da schreibt mir eine Belinda Wittmer unter der Absenderadresse „xhxyp@bondnbotes.com“ folgendes:

„Sehr geehrte Damen und Herren,

 

Usenet GmbH - usenext.de

96,24 EUR

 

Beate Uhse GmbH  beate-uhse.de

16,98 EUR

 

bisherige Mahnkosten unserer Mandanten:

78,81 EUR

 

vorgerichtliche Inkassogebuehren:

25,63 EUR

 

noch offener Gesamtbetrag inklusive unserer Bearbeitungskosten:

468,66 EUR

 

bislang ist der von uns angemahnte Betrag nicht ausgeglichen worden!

 

Als Vertragspartner der SCHUFA Holding AG weisen wir darauf hin, dass wir Daten ueber aussergerichtliche und gerichtliche Einziehungsmassnahmen bei ueberfaelligen und unbestrittenen Forderungen an die SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden, uebermitteln. Vertragspartner der SCHUFA sind vor allem Kreditinstigute sowie Kreditkarten- und Leasinggesellschaften.

Moechten Sie diese Schritte vermeiden, zahlen Sie bitte bis zum 09.12.2008 Ihren Schuldbetrag unter Angabe Ihres

Aktenzeichens (siehe Anhang) auf die in der Auflistung genannte Bankverbindung.

Die detailierte Auflistung Ihrer Rechnungen, Mahngebuehren und die Zahlungs bzw. Wiederspruchshinweise finden Sie im Anhang.

 

Mit freundlichen Gruessen Ihr Proinkasso Team

 

Dieser Brief wurde maschinell erstellt und ist deshalb ohne Unterschrift gueltig“

Also, liebe Spammer, Phisher und sonstige elektronische Vollpfosten, wenn Ihr mich schon dazu überreden möchtet, einen dubiosen Dateianhang namens „Anhang.zip“ zu öffnen, solltet Ihr mindestens meinen Namen in der Anrede kennen und eine Absenderadresse verwenden, die irgendetwas mit der von Euch vorgetäuschten Firma zu tun hat. Und richtig toll wäre es, wenn Ihr nicht nur in den von Euch verschickten kriminellen Müll etwas Sorgfalt verwenden würdet, sondern auch in Eure Mailtexte. Oder hat Euch niemand verraten, dass man in Deutschland Umlaute benutzt? Ich kennen jedenfalls – bis auf die Presseagentur von Adobe, der das partout nicht auszutreiben ist  - niemanden, der seine Leser noch mit dieser ASCII-sicheren Schreibweise beglückt. Na, und dass wirklich kein Unternehmen E-Mail-Anhänge in gezippter Form verschickt, das solltet Ihr doch inzwischen wirklich wissen. Schließlich möchtet Ihr doch mit diesen Mails Geld und Daten ergaunern – da müsst Ihr Euch schon ein bisschen mehr anstrengen…

Wie auch immer, derartige E-Mails sind derzeit wieder stark im Umlauf (siehe auch hier oder hier) und werden, so dümmlich ihr Inhalt auch ist, den einen oder anderen Anwender zum irrtümlichen Installieren von Schadsoftware verleiten. Als Absender tritt übrigens neben dem seltsamen Inkassobüro auch ein Energieversorger auf.

Als Betreffzeilen gibt es Begriffe wie “Ratenzahlung”, “Lastschrift”, “Amtsgericht” oder “Auflistung der Kosten”. Auch der Dienst „Stay Friends“ wird mit einer ähnlichen Masche missbraucht, nur lautet der Betreff dann “Stayfriends Anmeldung ID …”.

Der Dateianhang Rechnung.zip bzw. Anhang. zip enthält u.a. eine als SSL-Zertifikat getarnte ausführbare Datei, die als Download-Trojaner weitere Schadsoftware auf dem Rechner des Benutzers installiert.

Bots, also die kleinen Schädlinge, die Rechner „kapern“ und zu ferngesteuerten „Zombie“-Rechnern machen, sind grün und sehen ein bisschen aus wie degenerierte Frösche.

Woher ich das weiß? Nun, auf der CeBIT hatte ich Gelegenheit, mir am Stand des Bundesamtes für Sicherheit in der Informationstechnik (BSI) eine sehr interessante CD mitzunehmen, die unter dem Titel „Ins Internet – mit Sicherheit“ jede Menge Informationen über die aktuellen Gefahren im Internet bietet.

Sehr gut gelungen auf dieser CD ist unter anderem die Darstellung des Themas Bot-Netze, das sehr anschaulich über einen kleinen Film illustriert wird. Der zeigt nicht nur, was diese Schädlinge anrichten können, sondern eben auch, wie sie ausssehen…

Schauen Sie sich das Treiben der Bots doch einmal selbst an. Und natürlich bietet das BSI auch griffige Erklärungen in Textform an. Passend zum Thema möchte ich Ihnen hier aus dem Abschnitt über Bot-Netze zitieren:

„Wenn Sie im Internet unterwegs sind oder E-Mail-Anhänge öffnen, dann kann es leicht passieren, dass Sie sich schädliche Programme auf Ihren PC herunterladen – es sei denn, Ihr Rechner ist durch entsprechende Maßnahmen geschützt. Zu diesen Schadprogrammen zählen auch Bots, die sich still und heimlich auf Ihren PC schleichen. Viele Bots verhalten sich zunächst ziemlich unauffällig, so dass Sie davon nichts bemerken. Doch der Schein trügt. Denn die Verursacher der Schadprogramme können diese per Knopfdruck aktivieren. Dazu schicken Sie entsprechende Kommandos an den befallenden PC. Voraussetzung dafür: Der PC muss online sein.

Von Bot-Netzen spricht man dann, wenn sehr viele PCs – meist mehrere Tausend – per Fernsteuerung zusammengeschlossen und zu bestimmten Aktionen missbraucht werden. Das können einerseits DDoS-Angriffe sein, um große Internetseiten lahm zu legen. Andererseits wird über Bot-Netze aber auch SPAM unerkannt versendet. Darüber hinaus werden Bot-Netze oft gegen Geld an Dritte weitervermietet. Um es auf den Punkt zu bringen: Hinter Bot-Netzen steckt verdammt viel kriminelle Energie und eindeutig ein böser Wille.

Von den Angreifern ausgenutzt werden vor allem Schwachstellen in den Microsoft-Betriebssystemen. Doch auch Benutzer anderer Betriebssysteme dürfen sich nicht in falscher Sicherheit wiegen. Gekaperte UNIX-Server funktionieren beispielsweise oft als Kernstück eines Bot-Netzes, d. h. sie steuern die befallenen PCs zentral.

Das Problem der Bot-Netze hat im letzten Jahr massiv zugenommen. Der Grund: Immer mehr Nutzer verfügen über einen Breitband-Internetanschluss. Nicht wenige Computer sind rund um die Uhr ans Internet angeschlossen. Immer günstigere Flatrates machen’s möglich.

Und im Gegensatz zu analogen Internetverbindungen fällt bei DSL-Anschlüssen kaum auf, ob der Computer “heimlich Dinge macht”, weil die Verbindungsgeschwindigkeit nicht merklich langsamer wird. Studien zufolge werden pro Tag weltweit mehrere Tausend neue Computer gekapert und für fremde Zwecke missbraucht. Ein neu ans Internet angeschlossener PC wird bereits nach wenigen Minuten erstmals angegriffen.

Die Folge: Durch Bot-Netze ist Ihr Rechner nicht mehr nur Opfer, sondern er wird gleichzeitig auch zum Täter. Er erhält die entsprechenden Befehle und führt diese – willenlos – aus. Einige Computerwürmer konnten sich beispielsweise nur durch Bot-Netze so schnell und wirkungsvoll verbreiten.

In den Medien taucht für Bot-Netze übrigens immer öfter der Begriff “Zombie-Rechner” auf, weil der Rechner wie ein Zombie – ein willenloses Werkzeug – zum Leben erweckt wird.

Mehrere Internetprovider arbeiten derzeit daran, die Internet-Infrastruktur weniger anfällig für Bot-Netze zu machen. Doch bislang sind Sie an dieser Stelle gefordert: Sorgen Sie dafür, dass Fremde keine Möglichkeit bekommen, Ihren Rechner in Beschlag zu nehmen und für Angriffe zu missbrauchen. Aktualisieren Sie Ihr Betriebssystem regelmäßig und schließen Sie bekannte Sicherheitslücken. Informationen dazu erhalten Sie bei dem entsprechenden Hersteller Ihres Betriebssystems. Darüber hinaus gelten die üblichen Schutzmaßnahmen: Installieren Sie ein Virenschutzprogramm und eine Firewall und aktualisieren Sie diese regelmäßig.“

So weit das BSI zu den Bots. Alle Informationen können Sie im Internet unter http://www.bsi-fuer-buerger.de/ nachlesen – ein wirklich guter Link, um sich etwas mehr in die Thematik Internet und Sicherheit einzulesen.