Sie befinden sich hier

Inhalt

Malware und was man dagegen unternimmt

Viren und Trojaner sind neben vielen anderen Begriffen Bezeichnungen, die heute in der IT als "Malware", "Mal" für "Malicious" - also Schad-(Soft)ware, zusammengefaßt werden.

Die Begriffe verschwimmen heutzutage, weil eine Lücke zum Teil gleichzeitig von unterschiedlichsten Schädlingen gleichzeitig ausgenutzt wird und eigentlich die Verbreitungstechniken der Schädlinge beschreiben:

Virusklassisch, verbreitet sich über "Wirts-Dokumente", infiziert also z.B. alle Word-Dateien im Netzwerk und auf USB-Stick durch einfaches Öffnen solches Dokumentes
Trojaner

vom "Trojanischen-Pferd", braucht kein "Wirt-Dokument", ist eine ausführbare Datei, die vom Anwender ausgeführt wird, um einen versprochenen Nutzen zu haben, z.B. ein Bildschirmschoner, z.T. erfüllt das Programm den Nutzen noch nebenbei.

Der Trojaner infiziert keine anderen Dateien, vervielfältig sich heute aber häufig in den Betriebssystembereichen, der "Registry" und Backupbereichen des PC um einer einfachen Löschung durch Virenscanner zu entgehen.

Wurmfrüher üblicher, vervielfältigt sich über den PC hinaus (z.B. per Mail) im Netzwerk ohne Benutzereinwirkung, heute i.d.R. durch Trojaner ersetzt.
ScarewareIst ein Programm, was häufig durch den Anwender "absichtlich" installiert wird, weil eine Website z.B. vor einer Infektion warnt, die tatsächlich bis dahin noch gar nicht vorliegt, danach ist die Software nur schwer wieder zu löschen und fordert penetrant zum Kauf von Antivirenprogrammen auf, die den Anwender von ihr selbst erlöst. Sie hat i.d.R. außer dem "Nervfaktor" keine Schad- und Verbreitungsfunktion.
Kidnapping-Software

Verschlüsselt Ihre Dokumente und häufig Mails und fordert "Lösegeld" - per Geldanweisung oder Kreditkarte.

Hier bitte das System nicht mehr anfassen, auch nicht ausschalten, manchmal können wir dabei noch die Daten "herausretten".

   

Typische Infektion

Egal welche Art (oder Kombination) es ist, typischerweise wird ein PC infiziert, indem der Anwender 

  • eine infizierte Webseite ansurft - entweder einen typisch sicheren Kandidaten dafür der folgendes verspricht: Pornographie, Glückspiele, Raubkopien, Hacking-Werkzeuge - oder eine beliebige Seite die nur zufällig infiziert wurde;
    gelegentlich muß dann noch vom Anwender die Installation von Software bestätigt werden - das sollte man natürlich vermeiden - aber auch völlig unbemerkt kann die Malware sich dann einnisten
  • einen E-Mail-Anhang unbekannter Herkunft, gelegentlich auch erst noch gepackt, öffnet oder
  • heute selten: einen E-Mail-Anhang von einem Bekannten, wo die Versendung in dessem Namen heimlich erfolgt
  • einen E-Mail-Anhang von einem Bekannten öffnet, wo das Dokument selbst Viren-infiziert ist, z.B. Word, Excel oder PDF
  • einen USB-Stick, Diskette oder CDs einsteckt, der/die beim Bekannten versehentlich oder von unbekannten absichtlich infiziert wurde/n
  • Ein Programm absichtlich herunterlädt und ausführt, bei der ein anderer Zweck versprochen wird.

Neugierde und Habgier (Raubkopien, ...) begünstigen das ganze also, es kann aber auch völlig unbedarfte Anwender und "Profis" treffen.

 

Gutes Verhalten ...

Leider kann es auch den "perfekten" Anwender treffen, warum gleich,
bestmöglich wäre und ist aber:

  • keine Raubkopien verwenden, für die lassen sich häufig keine sicherheitsrelevanten Updates einspielen
  • keine fremden und unnötigen Programme und Dokumente installieren/einlesen
  • alle Betriebssystem- und Anwendungsprogramm-Updates einspielen
  • einen aktuellen Virenscanner verwenden
  • den Internet-Zugang nicht (nur) über DSL-Modem sondern über Router herstellen (in größeren Firmen ohnehin üblich)
  • E-Mails, die seltsam aussehen, selbst von bekannten aber unerwartet, nur nach Absprache öffnen

Nachfolgende Maßnahmen sind die Einschätzung bei Quintalog, dürfen aber von anderen Administratoren auch anders gesehen werden:

  • Striktes Verbot, der Nutzung von Pornographie-, Glückspiel-, Raubkopien-, Filesharing- und Chat-Seiten am Arbeitsplatz
  • Verwendung des Firefox statt Internet-Explorer für das Firmensurfen, trotzdem Internet-Explorer aktuell halten, da er vom Betriebssystem trotzdem mit genutzt wird.
  • Neben supporteten Windows-Versionen (nicht mehr 2000 oder älter) wo möglich UNIX/Linux für "Surf-Arbeitsplätze" einsetzen
  • Ein Backup der Arbeitsplätze vorher einrichten, sodaß bei einer Infektion "einfach" der ganze Arbeitsplatz zurückgesetzt werden kann.

  

Ich habe doch schon einen Virenscanner ...

Warum trifft es Sie dann trotzdem noch?

  • In Betriebssystemen werden immer wieder neue Lücken bekannt, die auch "um einen Virenscanner herum" ausgenutzt werden können. Der Virenscanner sieht den Datenstrom dann schlicht gar nicht.
  • Virenscanner sind nur bei bereits bekannten Viren/Trojanern sicher, ihre "Signatur" (wie ein Fingerabdruck) muß bereits bekannt sein, wenn Sie ausgerechnet frühzeitig auf eine neuartig infizierte Webseite/E-Mail stoßen, erkennt der Virenscanner das nicht, obgleich in z.B. fünf Stunden Ihr Virenscanner sich bereits aktualisiert hätte und damit es erkennen könnte.
  • Die Folge: nachträglich verbirgt sich ein einmal gestarteter moderner Virus/Trojaner gut genug, sodaß Updates ihn nicht mehr gefährden, dann muß man mit externen Mitteln helfen oder sogar neu installieren.

  

Dann ist der PC halt infiziert, stört mich doch nicht weiter?

Leider nein, was soll diese Malware auf Ihrem PC machen?

  • Noch relativ harmlos: Spam - z.B. Viagra-Werbung - in die Welt schicken, das macht Ihren PC langsam bis unbedienbar
  • unangenehmer: immer wieder aktualisierte Passwort/PIN/TAN-Sniffer installieren, die versuchen, Ihr Online-Banking umleiten ("Phishing")
  • "noch" unangenehmer: auf Kommando aus der Entfernung Ihre E-Mails und Dokumente verschlüsseln und gegen Lösegeld wieder herausgeben
  • richtig unschön: auf Ihrem Rechner Material ferngesteuert ablegen, auf das "Kunden" dann wieder zugreifen - "Kinderpornographie"! - Mit Glück erhalten Sie dann den PC durch die Polizei nach der Untersuchung wieder, mit viel Glück bleibt ein Image-Schaden bei Ihren Bekannten, Kunden, Mitarbeitern aus.

Aber mir ist doch noch nie etwas passiert?

Wissen Sie das wirklich? Im Fall des Spam-Verteilens womöglich jahrelang nicht, ein Virenscanner läuft dann einfach weiter, da er erst nach dem Trojaner geladen wird!

 

Warum sollte ich angegriffen werden, bei mir ist nichts zu holen?

Leider auch falsch, es trifft statistisch einfach alle und immer wieder. Automatische Systeme, unter anderem tausende infizierte Windows-PCs versuchen unentwegt alle DSL-Anschlüsse anzugreifen und gleichermaßen alltägliche Webseiten im Internet neu zu infizieren, Sie müssen nicht persönlich von einem "Hacker" ausgeguckt worden sein!

 

Fazit

Man kann etwas tun, es wird Zeit, damit leider auch Geld kosten, Unannehmlichkeiten noch zur Folge haben und es wird nicht absolut sicher sein.

Macht man nichts, kann man sich heutzutage sicher sein, daß ein Windows-PC, wenn man damit auch im Internet unterwegs ist, infiziert wird und die Folgen eigener Datenverlust und mit Pech sogar strafrechtliche Verfolgung durch Sicherheitsbehörden sein wird.

Kontextspalte

Die sicher-im-netz.de - Initiative (siehe obiges "Sicherheits-Barometer") ist eine von vielen Hersteller-unterstützten Seiten zur Information über Gefahren "im Internet", in diesem Fall vom Hauptsponsor Microsoft betrieben. Zur Einleitung sicherlich auch empfehlenswert, aber eben nicht unabhängig.

Vergleiche im Internet

Bitte bedenken Sie, daß die Hersteller von Test zu Test auch zufällig unterschiedlich gut dastehen können und die Erkennungsleistung nicht der einzige Faktor zur Einsatzempfehlung darstellt.

AV-Comperatives

virusBULLETIN

AV-Test.org

Bürger-CERT vom BSI

Bürger-CERT

- viele Newsletter, Hersteller-unabhängige Informationen

ERROR: Content Element type "templavoila_pi1" has no rendering definition!