Von Würmern, Phischen und Spionen

Inhaltsverzeichnis

Vor einigen Jahren hat man noch peinlich genau zwischen verschiedenen Arten von Schädlingen unterschieden: Ein Virus infiziert Dateien, ein Wurm verbreitet sich massenhaft übers Netz, ein trojanisches Pferd täuscht den Anwender über seine eigentliche Funktion und eine Hintertür öffnet Angreifern einen direkten Zugang zum Rechner.

Mittlerweile ist diese Trennung sinnlos: Fast alle heute vorkommenden Schädlinge sind Kombinationen dieser Attribute, sie verschicken sich massenhaft per E-Mail, infizieren das System und öffnen meist zusätzlich noch Hintertüren. Die virulente Komponente ist dabei am seltensten; die wenigsten Schädlinge infizieren tatsächlich Dateien, sondern sorgen auf andere Weise dafür, dass Windows sie bei jedem Systemstart automatisch lädt.

Die meisten solcher ungebetenen Gäste kommen immer noch per Mail-Attachments ins Haus. Viele Dateitypen können Schädlinge enthalten. Im einfachsten Fall hängt schlicht eine ausführbare Datei (.exe) an der Mail. Windows führt allerdings auch andere Dateien wie .com, .pif oder .scr direkt aus. Aber auch unbekanntere Typen wie .cpl (Control Panel Applet) werden mittlerweile ebenfalls für Viren verwendet. Im Grunde spielt die Dateierweiterung keine Rolle: Über unbekannte Sicherheitslücken können auch vermeintlich ungefährliche Typen schädlichen Code enthalten. Damit sollte man zumindest rechnen.

Solche Schädlinge erfordern aber stets eine explizite Aktion des Benutzers, um aktiv zu werden. Trotzdem zeigen Verbreitungsstatistiken, dass viele Anwender noch immer solche Dateianhänge öffnen: Ob Bagle, MyDoom, NetSky, Sobig - fast alle im vergangenen Jahr stark ausgebrochenen Schädlinge gehören dieser Gattung an.

Auto-Infektion

Inzwischen steigt auch die Anzahl der direkt im Web platzierten Schädlinge. Diese sind insofern gefährlicher als ihre manuellen Gefährten, als sie Sicherheitslücken ausnutzen, um den Client-Rechner direkt zu infizieren. Dazu genügt mit einem verwundbaren System oft schon ein falscher Klick. So machte im September die JPEG-Lücke Furore: Das bloße Betrachten eines JPEG-Bildes mit dem Internet Explorer reichte aus, um den Rechner zu infizieren. Zusätzlich gab es auch Mail-Würmer, die ein solch manipuliertes JPEG-Bild als Anhang trugen. Bereits die Anzeige der Auto-Vorschau in Outlook oder Outlook Express infizierte das System.

Zwar hat Microsoft die Lücke gestopft, bevor Exploits und Schädlinge im großen Stil kursierten, aber viele Nutzer hatten den Patch nicht rechtzeitig eingespielt. Im Internet Relay Chat (IRC) wurden zahlreiche Anwender infiziert, nur weil sie vermeintlich harmlose URLs aus dem Chat aufgerufen haben.

Selbst alternative Browser wie Mozilla/Firefox oder Opera sind nicht vor solchen oder ähnlichen Schwachstellen gefeit. Mit dem c't-Browsercheck [1] können Sie überprüfen, ob Ihr Browser anfällig für verschiedene bekannte Schwachstellen ist.

Eine noch größere Gefahr geht von Würmern aus, die überhaupt keine Aktion des Anwenders erfordern: Eine aktive Internet-Verbindung genügt als Einfallstor. Im Mai letzten Jahres bewies der Wurm Sasser eindrucksvoll, welche verheerende Wirkung so ein Schädling haben kann. Er verbreitete sich über eine Lücke im LSASS-Dienst von Windows. Dieser Dienst, der auf Port 445 lauscht, war damals standardmäßig in allen Windows-2000- und -XP-Versionen offen und aus dem Internet erreichbar, sofern keine Firewall vorgeschaltet war.

Auch in diesem Fall war ein Patch verfügbar, bevor Sasser ausbrach. Trotzdem schlug er ein wie keiner seiner Mail-orientierten Verwandten. Patches werden nach wie vor nicht rechtzeitig eingespielt.

Das Microsoft-Update hat zwar den LSASS-Fehler behoben, das grundsätzliche Problem bestand jedoch weiter: Viele Windows-Systeme boten unnötigerweise Dienste wie LSASS im Internet an. Und dabei war Sasser nicht der erste seiner Art: Im August 2003 infizierte der Blaster-Wurm hunderttausende PCs über den RPC/DCOM-Dienst auf Port 135.

Mit Service Pack 2 hat Microsoft diesem Problem endlich einen Riegel vorgeschoben: Die Windows-Firewall schottet den Rechner von außen zuverlässig ab, sodass potenzielle Sicherheitslücken in Systemdiensten (und auch anderen Server-Programmen) zumindest für Endanwender keine unmittelbare Gefahr mehr darstellen. Wie gut der Riegel hält, muss allerdings die Zukunft zeigen. Immerhin befindet sich Microsoft auf einem guten Weg, auch wenn man sich noch weitere Änderungen erhoffen muss. So sollten die Redmonder den Anwendern noch mehr unter die Arme greifen, damit sie ohne Administrationsrechte arbeiten können - Schädlinge mit vollen Zugriffsrechten können freilich einen wesentlich größeren Schaden anrichten.

Sasser-Würmer sind nach wie vor ein Faktor: Sie lauern nach wie vor im Internet auf unvorsichtige Opfer. Immer noch sind wohl mehrere tausend Sasser-Würmer in der Welt aktiv, die unentwegt nach weiteren verwundbaren Systemen suchen. Wer heute arglos ein Windows XP oder 2000 ungeschützt ans Netz hängt, hat binnen weniger Minuten einen Sasser-Wurm auf seinem System.

Klassentreffen

Ist der Damm einmal gebrochen, ergießt sich nicht selten gleich eine ganze Flut von Schädlingen über das System: Der Sasser-Wurm öffnet eine Hintertür, über die wiederum andere Viren Einlass ins System finden. SDBot ist ein Schädling, der seit Jahren in hunderten von Varianten existiert. Neuere scannen unter anderem nach den Sasser-Hintertüren und befallen anfällige Systeme. Erfahrungsgemäß dauert es nur wenige Sekunden, bis nach einem Sasser-Befall die ersten SDBots eintreffen.

Einige Schädlinge bekämpfen sich sogar zielgerichtet gegenseitig: Die Autoren der NetSky- und MyDoom-Würmer lieferten sich eine regelrechte Schlacht auf den PCs der arglosen Anwender. Beide Wurm-Varianten suchen aktiv nach Hintertüren des anderen und infizieren die Systeme erneut. Dabei entfernen sie sogar den alten Wurm, allerdings kaum aus guter Absicht, sondern mit dem Ziel, die alleinige Kontrolle zu erlangen.

Wie ein System auf solche Mehrfachinfektionen reagiert, lässt sich kaum vorhersagen. Der Anwender bekommt in erster Linie nur zu spüren, dass sein System nicht mehr richtig funktioniert. Mit einem Sasser und einer Hand voll SDBots und ähnlichem Getier bewegt sich unter Windows meist nicht mehr viel. Hohe CPU-Auslastung und ständige Festplattenaktivität sind dabei die häufigsten und auffälligsten Symptome. Viel problematischer als ein störrisches System sind jedoch die Dinge, die im Hintergrund geschehen.

Paradigmenwechsel

Die größte Gefahr geht heute von Schädlingen aus, die den eigenen Rechner kriminellen Betrügern zugänglich machen. Vorbei sind die Zeiten, als Viren hauptsächlich von ruhmsüchtigen Jugendlichen in die Welt gesetzt wurden und der dabei angerichtete Schaden eher versehentlich entstand. Die Motive der Virenautoren haben sich geändert: Es geht immer öfter um Geld.

So setzen mittlerweile viele Schädlinge auf den infizierten Systemen Mail-Relays auf, deren Adressen dann an Spammer verscherbelt werden. Anfang letzten Jahres deckte c't einen Fall auf, in dem Verbreiter von Viren ihre Bot-Netze - bestehend aus tausenden infizierter Systeme - an Spammer vermietet hatten [2]. Für 28 000 US-Dollar bot der mittlerweile festgenommene und wieder auf freien Fuß gesetzte Virenschreiber einen Monat freien Zugang zu den von ihm kontrollierten Mail-Relays.

Dass dies kein Einzelfall war, zeigt der „Email Security Report“ der Firma MessageLabs. Die Virenexperten konstatieren für 2004 bereits einen deutlichen Zusammenhang: „Es ist logisch, dass sich Perioden mit hohem Virenaufkommen mit Perioden hohen Spam-Aufkommens decken“, heißt es in dem Report. Ein beträchtlicher Teil unserer täglichen Spam-Dosis dürfte mittlerweile über infizierte Rechner ins Netz gelangen.

Die MessageLabs-Statistiken geben auch einen Eindruck davon, wohin die Reise geht: Im Jahre 2002 enthielt jede elfte E-Mail Spam (9 Prozent), im Jahre 2003 waren es schon 40 Prozent. Im vergangenen Jahr schließlich wurden 73 Prozent aller E-Mails als Spam klassifiziert. Mit anderen Worten: Nur jede vierte Mail enthält noch Nutzlast.

Bei Schädlingen sieht es ähnlich aus: 2002 kam in jeder 212. Mail ein Schädling mit (0,5 Prozent), 2003 war das Ungeziefer schon in jeder 33. E-Mail zu finden (3 Prozent). 2004 verdoppelte sich das Ganze nochmals und jede 16. Mail (6 Prozent) war infiziert. MessageLabs geht davon aus, dass der Schädlings- und Spam-Anteil im kommenden Jahr noch weiter steigen wird, bei Spam geht man von bis zu 90 Prozent aus.

Spione bei dir

Doch mittlerweile droht den Anwendern noch eine viel konkretere Gefahr durch profitorientierte Machenschaften: Adware, Spyware und richtige Spionage-Programme nisten sich auf immer mehr Rechnern ein. Diese meist unerwünschten Gäste gibt es in den verschiedensten Ausprägungen.

Vergleichsweise harmlose Varianten kommen als Add-ons zu netten Utilities ins Haus, die als Gegenleistung für das kostenlose Programm ein paar Informationen über die Surf-Gewohnheiten des Nutzers weitergeben: Wann und wie lange ist er im Netz, welche Seiten besucht er et cetera. Was dann aber tatsächlich übertragen wird, ist mitunter schwierig zu überprüfen.

Die gemeineren Versionen setzen sich hartnäckig im System fest, verändern die Startseite des Browsers und leiten Seitenanfragen auf Webseiten um, auf denen die Autoren über Partnerprogramme Provisionen kassieren. Eindeutig kriminelle Spyware-Ableger haben es direkt auf das Geld der Opfer abgesehen und versuchen vor allem, Zugangsdaten zu Diensten wie eBay oder PayPal, aber auch PINs und TANs für Online-Banking und Kreditkarteninformationen auszuspionieren.

Einige Spyware-Tools weisen bei ihrer Installation sogar explizit auf die Zusatzfunktionen hin und lassen sich deren Einsatz in den Nutzungsbedingungen absegnen. Auf der anderen Seite kommt es nicht selten vor, dass genau dasselbe Programm beispielsweise heimlich über Sicherheitslücken des Internet Explorer auf dem Rechner eines arglosen Surfers installiert wird. So konstatiert der Sicherheitsexperte Tom Liston in [3], dass ohne sein Zutun rund zwanzig verschiedene Programme mit insgesamt über 3 MByte Größe auf seinem Rechner installiert wurden. Und das nur, weil er eine einzige Webseite mit einem ungepatchten Windows-System aufgesucht hatte.

Die Hersteller von Antiviren-Software stehen vor einem Dilemma: Die Anwender erwarten zu Recht, dass ihr für gutes Geld erworbenes Antiviren-Programm den Rechner vor unerwünschten „Gästen“ schützt beziehungsweise diese auch wieder entfernen kann. Andererseits drohen die Vertreiber von Ad- und Spyware mit Klagen, weil die Antiviren-Programme ihr zumindest nicht immer eindeutig rechtswidriges Geschäftsmodell untergraben. Der Anwender habe schließlich der Installation des Programms zugestimmt und deshalb dürfe es nicht als Schädling klassifiziert werden.

Dr. Fraser Howard von den McAfee Avert Labs spricht bereits von einem juristischen Minenfeld, das zur Folge hat, dass man bald mehr Juristen als Software-Entwickler benötige, um ein effizientes AV-Programm auf den Markt zu bringen. Nicht selten dienen solche juristischen Probleme jedoch auch als willkommene Entschuldigung dafür, dass viele AV-Hersteller diesen Trend schlicht verschlafen haben. Viele Hersteller behandeln Spyware heute noch eher stiefmütterlich, wie es vor einigen Jahren bei trojanischen Pferden der Fall war - auch diese wurden einst äußerst schlecht erkannt.

Das liegt auch daran, dass das Erkennen und vor allem Entfernen von Ad- und Spyware die Hersteller vor neue technische Herausforderungen stellt: Anders als herkömmliche Schädlinge bestehen die Spionage-Programme fast immer aus mehreren Komponenten, die sich an unterschiedlichsten Stellen im System festsetzen. Sie alle aufzuspüren und rückstandsfrei zu entfernen, ohne das System oder eventuell andere installierte Programme zu beschädigen, ist gerade angesichts der Vielzahl von unterschiedlichen (Unter-)Versionen nahezu unmöglich.

Doch Besserung ist in Sicht: Mittlerweile enthalten manche AV-Programme zumindest Zusatzkategorien für „potenziell unerwünschte Programme“, die der Anwender jedoch selbst aktivieren muss. Trotzdem empfiehlt beispielsweise Toralv Dirro vom Antivirus-Unternehmen McAfee derzeit auf jeden Fall den zusätzlichen Einsatz von Anti-Spyware-Software (siehe Artikel auf S. 138).

Wo ist der Phisch?

Zu Viren, Spam und Spyware gesellt sich seit letztem Jahr weitere Unbill: So genannte Phishing-Mails verleiten die Anwender mit Tricks, kritische Daten quasi freiwillig an Kriminelle herauszugeben. Das Prinzip ist alt, sogar älter als das Internet selbst, denn es handelt sich dabei um klassisches Social Engineering.

Typisches Beispiel ist eine E-Mail, die vermeintlich von einer Online-Bank stammt. Gut zusammengestellt mit richtigem Unternehmenslogo und professionellem Design enthält sie die Aufforderung, dass man sich einmal bei der Bank einloggen müsse, weil eine Umstellung im Web-Auftritt stattgefunden habe.

Der in der Mail angegebene Link führt natürlich nicht zur Seite der Bank, sondern zu einer speziell manipulierten Website, die aber genauso aussieht wie das Original. Über URL-Spoofing oder andere Tricks bleibt die wahre Adresse der angewählten Webseite dem Nutzer oft verborgen. Hier eingegebene Zugangsdaten landen dann direkt in der Datenbank der Kriminellen.

Solche Mails werden einfach willkürlich und massenhaft verschickt. Dabei dürfte nur ein sehr kleiner Teil der Adressaten auf den Trick hereinfallen, allenfalls Personen, die tatsächlich Kunde bei dieser Bank sind. Im letzten Jahr gab es aber auch in Deutschland Fälle, in denen mit so erphishten PIN- und TAN-Nummern tatsächlich Geld abgehoben wurde. In den meisten Fällen konnten die Zahlungen wieder rückgängig gemacht werden, sodass sich der bisher aufgetretene Schaden noch in Grenzen hält.

Bedrohlich an dieser Form der Internet-Kriminalität ist vor allem, dass offenbar gut organisierte Banden eine Infrastruktur aufgebaut haben, über die sie nicht nur Zugangsdaten abphishen, sondern auch Geld in kürzester Zeit ins Ausland transferieren und dort verschwinden lassen können.

Grundsätzlich sollte man kritische Web-Zugänge wie PayPal, Homebanking oder eBay nur über Bookmarks oder die direkte Eingabe besuchen, niemals über Links aus einer Mail oder anderen Webseiten.

Ausblick

In einem Punkt sind sich Virenexperten einig: Die Situation wird sich im neuen Jahr nicht verbessern, sondern eher verschlimmern. Bei MessageLabs sieht man vor allem in puncto Phishing eine steigende Gefahr. Man geht davon aus, dass die Angriffe raffinierter und gegen spezifische Zielgruppen gerichtet sein werden. Es ist eine Frage der Zeit, bis personalisiertes Phishing in klassischen Schädlingen den Virenzoo bereichert. Es läuft darauf hinaus, dass Viren, Spyware und Phishing zu Multifunktionsschädlingen mutieren.

Erste Vorboten gibt es dafür bereits: Im Frühjahr des letzten Jahres wurde die vierte und letzte Version des Agobot, auch Phatbot genannt, veröffentlicht [4]. Diesen Gesellen kann man in der Tat schon als Schädling der nächsten Generation bezeichnen. Im Grunde kombiniert Phatbot alle typischen Funktionen aus vergangenen Schädlingen: Er verbreitet sich nicht nur über herkömmliche Verbreitungswege wie Netzwerkfreigaben, sondern sucht zudem nach Hintertüren der Mail-Würmer MyDoom und Bagle sowie des Trojaner-Toolkits Optix Pro, um anfällige Rechner darüber zu infizieren.

Über einen umfangreichen Befehlssatz können infizierte Systeme ferngesteuert werden. Dabei benutzt Phatbot ein dynamisch erweiterbares Modell, um Befehle zu registrieren. Tauchen neue Exploits auf, können die Bot-Instanzen diese automatisch nachladen und installieren. Ein Key-Harvester grast das System nach Lizenzen kommerzieller Software ab, wodurch Phatbot zusätzlich in die Kategorie Spyware fällt.

Zwar wurde der Programmierer und ursprüngliche Verbreiter von Agobot inzwischen ausgemacht und seine Rechner beschlagnahmt. Doch damit ist das Problem nicht aus der Welt, denn der Quellcode von Phatbot ist vorher über ein Internet-Forum einschlägigen Kreisen zugänglich gemacht worden.

Der Quelltext war in dieser Form - zum Glück - nicht ohne weiteres kompilierbar, was wohl der Grund war, dass es nach der Veröffentlichung zu keiner Phatbot-Flut kam. Aber allein die Tatsache, dass solche Quellcodes zur Verfügung stehen, bereitet Antiviren-Experten zunehmend Sorgen.

Microsoft hat mit Service Pack 2 die Grundsicherheit des bei vielen Endanwendern dominierenden Windows XP deutlich erhöht. So ist vor allem die Gefahr, dass im neuen Jahr erneut ein Wurm wie Blaster oder Sasser Millionen von Rechnern befällt, deutlich gesunken. Doch allein über technische Maßnahmen lassen sich die Probleme nicht in den Griff bekommen. Wenn der Anwender ein Programm ausführen will, muss es ihm das System letztlich gestatten. Und die Erfahrung zeigt, dass immer noch zu viele Anwender Warnungen unbeachtet wegklicken, vermeintlich nur hinderliche Sicherheitsfunktionen wie die Firewall deaktivieren und Updates und Patches nicht oder zu spät einspielen. So werden auch weiterhin Schädlinge ihren Weg auf die Rechner der Anwender finden.

Damit kann es durchaus passieren, dass 2005 erstmals seit langem die absolute Zahl der infizierten Systeme abnimmt, der angerichtete Schaden durch die mit krimineller Absicht in Umlauf gebrachten, immer raffinierteren Schädlinge insgesamt jedoch zunimmt. Wie Sie sich mit der richtigen Antiviren-Software und vorbeugenden Maßnahmen davor schützen, zeigen die folgenden Artikel.

Literatur

[1] c't Browsercheck

[2] Ferngesteuerte Spam-Armeen: c't 5/04, S. 18

[3] Schädlingen auf der Spur

[4] Patrick Brauch, Superwurm im Umlauf, Phatbot: modular, polymormph, quelloffen, c't 10/04, S. 38

"Angriffsziel PC"
Weitere Artikel zum Thema "Angriffsziel PC" finden Sie in der c't 1/2005:
16 Virenscanner im Vergleich	S. 128
Schutzmaßnahmen für den PC	S. 138

(pab)