So schützen Sie sich vor aktuellen Viren

So schützen Sie sich vor aktuellen Viren (c)
istockphoto.com/zmeel
Bild 1 von 3

So schützen Sie sich vor aktuellen Viren (c) istockphoto.com/zmeel

© IDG

Die neuesten PC-Viren überlisten mit raffinierter Technik den Computerschutz ebenso spielend wie den Anwender. Wir erklären, wie aktuelle Viren sich tarnen und wie Sie Ihren PC dennoch schützen können.

Ein besonders heimtückischer PC-Virus schleicht sich heimlichauf den Rechner, klinkt sich dauerhaft ins System ein undunternimmt dann erst einmal nichts weiter. Er wartet nur. Er wartetauf den besten Zeitpunkt für seinen Einsatz. Solche digitalenSchläfer sind seit jeher gefürchtete PC-Viren. DerMichelangelo-Virus löste beispielsweise schon im Jahr 1992allergrößte Sorgen unter damaligen Computerbesitzern aus. Denn derSchädling sollte sich angeblich bereits auf Millionen Rechnernbefinden und dort auf seinen Stichtag, den 6. März, warten. Andiesem Tag, dem Geburtstag des Malers Michelangelo, sollte er denPC zerstören. Glücklicherweise waren nur recht wenige PCs von demVirus betroffen. Deren Besitzer hatten aber wirklich Pech: DerVirus überschrieb die ersten 100 Sektoren einer Festplatte undverschob den Master Boot Record. Wer kein PC-Experte war, hatteseine Daten verloren.

Aktuelle Viren sind kaum noch auf Zerstörung hin programmiert.Sie haben es vielmehr auf Ihr Geld beim Online-Banking abgesehen.Oder sie wollen auf dem Rechner gespeicherte persönliche Daten undPasswörter stehlen. Doch auch aktuelle Viren gehen erst nach undnach an ihr kriminelles Werk.

Virus landet nur auf verwundbaren PCs

Je mehr PCs ein Virus befällt, desto wahrscheinlicher wird ervon Antiviren-Experten entdeckt. Diese können den Schädling danngenau untersuchen, eine Signatur gegen ihn erstellen und ihn sokünftig sofort mit einem Antiviren-Programm erkennen undblockieren. Für die Online-Kriminellen ist das ein großer Verlust,denn schließlich haben sie unter Umständen viel Zeit oder Geld indie Entwicklung gesteckt. Damit sich ihre kostbaren Viren nicht aufunnötig vielen PCs verbreiten, haben Sie einen Trickentwickelt.

Der Virenangriff auf dem Rechner läuft über eine infizierteInternetseite. Hat sich der PC-Anwender auf eine solche Seitelocken lassen, kommt üblicherweise als Erstes eine Art feindlichesDownload-Programm zum Zuge. Es klinkt sich zum Beispiel über eineSicherheitslücke in Adobe Flash oder dem PDF-Plug-in ins Systemein. Die Aufgabe dieses Download-Tools (auch Dropper genannt)besteht allerdings nur darin, den eigentlichen Schädling auf dem PCzu laden.

Bislang hat das feindliche Download-Programm den Schädling injedem Fall ausgeliefert. Und zwar auch dann, wenn der betroffene PCgar nicht anfällig für den Virus war. Hat sich etwa einBanking-Trojaner auf eine Sicherheitslücke im Internet Explorer 8spezialisiert, dann ist er auf einem PC mit der IE-Version 9vollkommen harmlos und somit für den Online-Kriminellen nutzlos.Trotzdem landete der Trojaner bisher auf dem PC.

Der neue, intelligentere Angriffscode lädt seine Nutzlastlediglich dann auf den Rechner, wenn dieser auch eine passendeSicherheitslücke hat. So verringert sich die Verbreitung desSchädlings und es dauert länger, bis die Antiviren-Experten ihnfinden.

Die (fast) perfekte Virenverschlüsselung

Gegen die immer raffinierteren Viren setzten dieAntiviren-Programme verbesserte Funktionen, beispielsweise dieVerhaltensanalyse. Wenn sich ein Programm auf dem PC verdächtigverhält, sendet das Schutzprogramm es im Zweifelsfall in dasAntiviren-Labor. Denn dort kann der Code genauer untersucht werden.Zunächst erledigen spezialisierte Computer dies vollkommenautomatisiert. Sollten diese allerdings nicht zu einem Ergebniskommen, wird der Code von Virenanalysten unter die Lupegenommen.

Damit weder die Computer noch die Analysten Erfolg haben,schützen die Virenprogrammierer ihre Schädlinge durch eineVerschlüsselung. Nur mithilfe des passenden Keys lässt sich derVirencode entschlüsseln, starten und analysieren. Dieser Key liegtbei den meisten Viren auf einem geheimen Server im Internet. DieAdresse des Servers ist im Virus versteckt. Für dieAntiviren-Spezialisten bedeutet es dann einiges an Mehrarbeit, dieversteckte Adresse des Schlüssels aufzuspüren. Da die Adresse zumKey jedoch in einem unverschlüsselten Teil des Schädlings abgelegtsein muss, finden sie ihn zumeist.

Ein neuer, extrem raffinierter Virus geht nun einen Schrittweiter. Candid Wüest, Virenjäger bei Symantec, berichtet von einemSchädling, der sich den erforderlichen Verschlüsselungs-Key nichtmehr von einem Internet-Server holt, sondern ihn aus derindividuellen Hardware-Konfiguration des befallenen PCs selbstgeneriert. Somit sieht jeder Viruscode einzigartig aus. Natürlichhat es auch dieser Virus auf das Geld beim Online-Bankingabgesehen. Sobald er sich in den Arbeitsspeicher entschlüsselt undaktiviert, führt auch er verdächtige Aktionen durch. Ein gutesAntiviren-Programm kann das bemerken und den Code insAntiviren-Labor senden. Doch dort kommt nur der individuellverschlüsselte Teil des Virus an. Somit haben die Spezialistenkeine Möglichkeit, den Virus zu decodieren und zu analysieren.

Die (fast) perfekt versteckte Kommandozentrale

Die meisten aktuellen Viren zählen zur Gattung der Bots. Ein Botverwandelt den PC in einen fernsteuerbaren Rechner. Die Befehleerhält der PC dann von einem Kommando-Server (C&C-Server) imInternet, der von einem Kriminellen kontrolliert wird. Ersteuertdarüber aber nicht nur einen einzigen infizierten Bot-Rechner,sondern viele Tausend auf einmal – ein ganzes Bot-Netzwerk. DieBot-Rechner nehmen von sich aus regelmäßig Kontakt zu ihrenC&C-Servern auf und prüfen, ob dort Befehle auf sie warten.Genau das macht ein Bot-Netzwerk jedoch verwundbar. Kann zumBeispiel die Polizei einen C&C-Server beschlagnahmen undabschalten, hat sie alle befallenen PCs von der Kontrolle durch dieKriminellen befreit.

Bei einfachen Bots ist der C&C-Server fest im Schädlingscodehinterlegt – entweder in Form einer IP-Adresse oder als Webadressein der Form: http://gehackter-Sever.cn/geheimes-Unterverzeichnis.Diese webbasierten C&C-Server halten nicht nur Befehle für dieBots bereit, sondern sammeln auch gestohlene Daten von denbefallenen Rechnern ein, etwa alle Passwörter aus dem Browser.

Wenn die Antiviren-Spezialisten die Adresse einesC&C-Servers ausfindig gemacht haben, kann die Polizei beimBetreiber des Servers für dessen Abschaltung sorgen.

Der Super-Virus Conficker: Dieser Schädling ausdem Jahr 2008 ging bei der Wahl seines C&C-Servers clevere neueWege. Anstatt eine feste Adresse in den Virus einzuprogrammieren,hatten ihm seine Macher einen Algorithmus eingebaut, der perZufallsgenerator jeden Tag neue Adressen von Webseiten generiert.Bei den Varianten Conficker.A und Conficker.B waren das 250 Seitenpro Tag. Die Schädlinge fragten dann der Reihe nach alle Seiten abund prüften, ob sich dort ein aktiver C&C-Server mit Befehlenbefand. Die Macher des Schädlings konnten sich mit demselbenAlgorithmus die 250 Seiten auch schon im Vorhinein generieren. Siemussten jedoch nur eine einzige Adresse aus den 250 möglichenwirklich registrieren und dort den C&C-Server starten.

Da sich der Schädling Conficker sehr schnell auf Millionen PCsverbreitete, formierte sich weltweit eine Allianz ausAntiviren-Spezialisten, Verwaltern von Internetadressen und derPolizei gegen ihn. Den Antiviren-Spezialisten gelang es denn auch,den Algorithmus für die Adresserstellung zu knacken. Sie konnten sonun ebenfalls die jeweils 250 Seiten pro Tag im Vorhinein berechnenund mithilfe der Verwalter von Internetadressen diese auf ihreeigenen Namen reservieren. Auf diese Weise konnten die Macher vonConficker dort keine Befehle mehr platzieren.

Banking-Trojaner mit besonderen Kommandozentralen

Der Schädling Zeus zählt zu den verbreitetsten undgefährlichsten Schädlingen der letzten Jahre. Er ist eininternationaler Banking-Trojaner, der Schätzungen der Polizeizufolge weit über 100 Millionen Euro von privaten Bankkontengestohlen hat. Zeus ist für die Kriminellen also äußerst lukrativ.Darum schützen sie ihre Netzwerke mit Zeus-Rechnern so gut wiemöglich. Das trifft gleichfalls auf die Kommando-Server(C&C-Server) für Zeus zu. Neben den üblichen webbasiertenC&C-Servern gibt es raffinierte Varianten.

Peer-to-Peer-Netzwerktechnik: Statt eineszentralen Kommando-Servers verwendet eine Variante desZeus-Schädlings die Peer-to-Peer-Technik (P2P). Ähnlich wie beimanchen Tauschbörsen-Programmen die Informationen nicht auf einemzentralen Server liegen, sondern auf vielen einzelnen Computern,erhält diese Zeus-Variante ihre Befehle von PC zu PCweitergereicht. Da ein zentraler Rechner fehlt, kann die Polizeidiesen auch nicht abschalten.

C&C-Server in der Cloud: Für einen einfachenC&C-Server genügt bereits ein simpler Online-Speicher, etwa beieinem Dienst wie Dropbox. Die Befehle für die Zeus-Rechner legendie Kriminellen dort in einer einfachen Textdatei ab. Die dafürerforderlichen Dropbox-Konten müssen die Kriminellen natürlichnicht selber registrieren. Sie nutzen einfach zuvor gestohleneZugangsdaten.

Versteckte C&C-Server-Adresse: Eine Variantedes Banking-Trojaners speichert die webbasierte Adresse desC&C-Servers in der Registry des befallenen Windows-Rechners ab.Dadurch kommen dann selbst die Antiviren-Spezialisten nicht ohneWeiteres an die Adresse, wenn das Antiviren-Tool den Schädling zurAnalyse ins Labor gesendet hat.

Banking-Trojaner: Diebstahl mit Obergrenze

Auch wenn ein Banking-Trojaner es geschafft hat, unbemerkt vomAntiviren-Programm den PC zu infizieren und sich zu aktivieren,kann er immer noch vom Server der Bank geschnappt werden. Dieserüberprüft nämlich, in welcher Geschwindigkeit die Befehle zu einerÜberweisung übermittelt werden. Einfache Banking-Trojaner sendendie Daten so schnell hintereinander, wie es lediglich einComputerprogramm, nicht aber ein Mensch kann. Hier schreitet dannder Banken-Server ein und stellt die Überweisung bis zu einerÜberprüfung zurück. Fortgeschrittene Banking-Trojaner fügen deshalbbei einer Überweisung künstliche Pausen ein, die das Klickverhalteneines Menschen imitieren.

Um der Kontrolle der Bank zu entgehen, besteht ein weitererTrick des Schädlings darin, sich beim Diebstahl selbst eineObergrenze zu verordnen. Diese liegt pro Überweisung bei 5000 Euro.Denn in vielen Ländern müssen die Banken bei Beträgen über 5000Euro eine Überprüfung nach dem Geldwäschegesetz starten. Einesolche Überweisung wird also genauer untersucht, woran dieKriminellen natürlich kein Interesse haben.

Verstecktes Wiederbelebungsmodul in Word

Anfang 2013 haben die Antiviren-Spezialisten bei Kaspersky einSpionagenetzwerk entdeckt, dass sie „Roter Oktober“ getauft haben.Es wurde mit einem Virus namens Rocra aufgebaut. Die Angreifernutzen Rocra, um in die Computer diplomatischer Einrichtungen sowieRegierungsorganisationen auf der ganzen Welt einzudringen. Hinzukommen Forschungsinstitute wie auch Energie- und Atomkonzerne. DerSchädling Rocra dient in erster Linie dem Datendiebstahl.

Zu seinen vielen Besonderheiten gehört ein einzigartigesWiederbelebungsmodul. Dieses erlaubt es Angreifern, die Kontrolleüber infizierte Systeme auch dann wiederzuerlangen, wenn derKontakt über den C&C-Server abgebrochen wurde. DasWiederbelebungsmodul wird bei der Installation von Rocra alsPlug-in im Programm Microsoft Word eingespielt. Dort wartet esvollkommen unauffällig auf seinen Einsatz. Wollen die Angreifereinen PC erneut unter ihre Kontrolle bringen, senden Sie etwa eineE-Mail mit einer präparierten Word-Datei im Anhang. Sobald derPC-Nutzer den Anhang öffnet, aktiviert das Plug-in den Schädlingvon Neuem. Das gelingt selbst dann, wenn der eigentliche Kern vonRocra bereits entfernt wurde.

Quelle: www.pcwelt.de
Kommentare
Top-Themen
Bestimmte Nachrichten, die Sie über WhatsApp versendet haben, würden Sie am liebsten wieder rückgängig machen? Mit ...mehr
Am heutigen 21. Juni und dem morgigen 22. Juni findet wieder der alljährliche Amazon Prime Day statt. Auf diesem Weg ...mehr
Der Power-Knopf am iPhone ist defekt, aber Sie würden gerne Ihr Smartphone ausschalten? Nutzen Sie dazu einfach iOS, ...mehr
Anzeige
gekennzeichnet mit
JUSPROG e.V. - Jugendschutz
freenet ist Mitglied im JUSPROG e.V.