Unter fremder Kontrolle

In den Virenstatistiken dominieren derzeit schlichte E-Mail-Würmer, die es auf maximale Verbreitung abgesehen haben, darüber hinaus aber keine oder kaum Schadfunktionen aufweisen. Größere Gefahr geht jedoch von trojanischen Pferden aus, die Daten ausspionieren und den Rechner als Spam-Schleuder oder für Angriffe auf Server missbrauchen.

In Pocket speichern vorlesen Druckansicht 8 Kommentare lesen
Lesezeit: 3 Min.

Die letzten großen Virenepidemien sind eigentlich recht glimpflich abgelaufen. Würmer wie Lovsan hatten nur die eigene Fortpflanzung im Sinn; echte Schadfunktionen enthielten sie nicht. Doch im Gefolge der eher harmlosen Würmer tauchen vermehrt Schädlinge auf, deren Autoren es richtig ernst meinen. Dabei hat das Formatieren der Festplatte als GAU für den Anwender längst ausgedient. Die Virenbastler haben entdeckt, dass es für sie viel lohnender ist, ein System unter ihre Kontrolle zu bringen, als es zu zerstören. Trojaner rüsten deshalb auf den befallenen Systemen zusätzliche Funktionen nach, die Zugangsdaten und Seriennummern stehlen oder die Fernsteuerung und -administration des Systems erlauben.

Die Bezeichnung Virus hat sich im allgemeinen Sprachgebrauch als Oberbegriff für Computerschädlinge aller Art etabliert. Da die meisten Schädlinge heute ohnehin Mischformen darstellen, hat sich die Unterscheidung zwischen Viren, die zur Fortpflanzung Dateien infizieren, Würmern, die sich übers Netz ausbreiten, und Trojanern, die eine versteckte Schadfunktion enthalten, ohnehin überlebt. Korrekt müsste es eigentlich auch trojanisches Pferd statt Trojaner heißen, denn die Einwohner Trojas wurden mit Hilfe des vermeintlichen Geschenks übertölpelt. Doch die handlichere Abkürzung Trojaner hat sich im Computerbereich etabliert und wird auch im folgenden für Programme mit versteckten Schadfunktionen verwendet.

War es früher durchaus üblich, die Schadroutinen in Spielen oder Utilities zu verbergen, verzichten heutzutage die meisten Trojaner auf die nützliche Verpackung und präsentieren beim Start höchstens noch eine nichts sagende Fehlermeldung. Wie ihre harmloseren Verwandten verbreiten sich auch Trojaner zumeist per E-Mail. Ein gut gemachtes Anschreiben versucht den Empfänger dazu zu bewegen, die angehängte Datei mit dem Trojaner zu öffnen. Besonders beliebt sind dabei angebliche Updates oder Patches für Windows oder den Internet Explorer.

Doch nach und nach kommen auch andere Methoden in Mode. So gibt es bereits einige Trojaner, die sich über Tauschbörsen verbreiten. Dazu kopiert sich das Programm zum Beispiel unter vielversprechenden Namen wie „Download Accelerator.zip“ oder „Password Cracker.rar“ in ein Verzeichnis, das es zu den freigegebenen Ordnern von KaZaA hinzufügt.

In jüngster Zeit finden sich auch vermehrt speziell präparierte Webseiten, die Fehler im Microsofts Internet Explorer ausnutzen, um ein Programm aus dem Internet herunterzuladen und auszuführen. In den letzten Monaten sind mehrere solcher Sicherheitslücken im Internet Explorer bekannt geworden. Zum einen vergehen typischerweise mehrere Wochen oder gar Monate, bis Microsoft einen Patch dagegen bereitstellt. Bei Redaktionsschluss gab es beispielsweise immer noch keinen Patch für das im November veröffentlichte Problem in der showhelp-Funktion, über das eine Webseite beliebige Dateien installieren und starten kann. Zum Anderen finden sich auch danach noch genügend Surfer, die diese Patches nicht installiert haben.

Solche Webseiten werden dann häufig in News-Gruppen oder via Chat und Instant Messaging „beworben“ und sind oft nicht auf den ersten Blick als dubios erkennbar. heise Security wurde kürzlich auf eine Seite hingewiesen, die wie eine ganz normale private Webseite eines Metallica-Fans aussah, im Hintergrund aber versuchte, einen Trojaner zu installieren. Im Dezember präparierten Einbrecher sogar eine Webseite des Landtags Mecklenburg-Vorpommern so, dass sie automatisch einen Keylogger installierte, der die ausspionierten Daten an diverse Server im Internet verschickte.

(ju)