Ist der Spyware-Krieg verloren?
Experten glauben, dass Spyware-Autoren im Kampf um den PC inzwischen die Oberhand gewinnen.
- Lamont Wood
Aktuellen Schätzungen zufolge befindet sich auf mindestens 72 Prozent aller PCs Spyware -- im Durchschnitt wird ein Windows-Rechner ganze 24 Mal infiziert. Gleichzeitig steigt die Anzahl an Websites rasant, die Spyware verteilen. Dementsprechend muss nun auch die Frage erlaubt sein, wer den Spyware-Krieg um den PC gewinnt.
Im letzten "State of Spyware"-Quartalsbericht des Sicherheitssoftwarespezialisten Webroot Software, aus dem die obigen Zahlen stammen, steht noch mehr Erschreckendes: Die Hersteller von Datenschädlingen fahren inzwischen die ganz großen Geschützte auf. Dazu gehören so genannte Rootkits sowie der so genannte polymorphe Code -- beides Techniken, gegen die die meisten Standard-Anti-Viren- Programme kaum etwas unternehmen können, wie Richard Stiennon, "Threat Research"-Vizepräsident bei Webroot, meint.
Spyware nutzt zumeist Browser-Sicherheitslücken, um sich auf die Festplatte des Benutzers herunterzuladen. Anschließend sammelt die Malware Daten wie das Surf-Verhalten des Users und schickt sie an ihre Autoren. Mit Hilfe der Rootkit-Technologie können sich Spyware- Programme gegenüber dem Betriebssystem unsichtbar machen. Schädlingsdateien verankern sich dabei tief im Rechner und arbeiten so nahezu unbemerkt.
Anti-Viren-Programme, die die Festplatte nach bösem Code absuchen, helfen dagegen wenig. "Rootkit-Dateien wissen, wenn sie gescannt werden und verhalten sich dann einfach still", sagt Industrieanalyst Rob Enderle von der Enderle Group aus San Jose. "Sie sind enorm gefährlich und arbeiten auf einer Ebene, an die aktuelle Anti-Malware- Programme nicht herankommen."
Die Gefahren der Rootkit-Technologie traten diesen Monat ins Schlaglicht, nachdem ein Sicherheitsexperte entdeckt hatte, dass das Plattenlabel Sony BMG Rootkit-Dateien auf bis zu 20 populären Musik- CDs platziert hatte, um Raubkopien zu stoppen. Sony entschuldigte sich zwar inzwischen bei den Nutzern und bot ein Deinstallationsprogramm an; doch mittlerweile wurden bereits drei verschiedene Datenschädlinge entdeckt, die das von den Sony BMG-CDs hinterlassene Rootkit verwenden, um sich zu verstecken. Gegen die Plattenfirma laufen inzwischen mehrere Sammelklagen.
Ein ebenfalls inzwischen gerne verwendetes Spyware-Hilfsmittel, der so genannte polymorphe Code, verwendet verschiedene Dateien mit zufälligen Namen. Das bedeutet, dass jede Vireninfektion einzigartig ist, was auch immer wieder neu angepasste Anti-Viren-Programme nötig macht. Selbst wenn das Betriebssystem einen dieser Schädlinge erkennt, hilft auch eine manuelle Entfernung nichts. Die infizierten Dateien überwachen sich gegenseitig und laden notfalls einfach Ersatz aus dem Web nach, sollten Teile entfernt worden sein.
"Man muss erst einmal wissen, welche Datei man zuerst löschen sollte. Das ist ein bisschen so, als würde man den Schwanz einer Schlange greifen wollen", sagt Webroot-Mann Stiennon. Das Hauptproblem sei aber, dass die alten Scan-Methoden nicht mehr funktionierten.
Dennoch gibt es Gegenmaßnahmen, wie Anti-Viren-Experten meinen. Craig Schmugar, Virus Research-Manager beim Sicherheitssoftwarekonzern McAfee, hält diese auch bei Rootkits und polymorphem Code für möglich. Schließlich seien beide Methoden bereits seit mehreren Jahren bekannt.
"Haben die Virenschreiber bereits so etwas wie eine Atombombe in der Hand? DarĂĽber spekuliert man bereits seit Jahren", sagt Schmugar. "Es gab bereits ein entsprechende Hinweise und wir mussten uns mit so genannten "Zero Day"-Angriffen auseinandersetzen, die LĂĽcken nutzten, die die Software-Anbieter noch gar nicht kannten. Doch die meisten Probleme lassen sich mit guten SicherheitsmaĂźnahmen und passenden Unternehmensprozeduren vermeiden. Dann geht es nur noch darum, das Rennen um passende GegenmaĂźnahmen zu gewinnen."
