Ratgeber Software

Die Tricks der Virenentwickler

21.10.2010 von Arne Arnold
Manche Viren sind hoch entwickelt und treten selbsttätig in Aktion. Andere warten darauf, dass ein argloser Computerbesitzer sie startet. Wir zeigen Ihnen, wie Sie Ihren Rechner vor Viren schützen.
Lesen Sie, wie Sie sich gegen die Angriffe durch Viren wappnen.

Ziel der Virenentwickler ist immer das gleiche: Sie wollen mit ihrem Schadprogramm möglichst viele Computer unter ihre Kontrolle bringen. Dann können die Kriminellen Konto-, Kreditkarten- und Anmeldedaten stehlen, den PC zum Versenden von Massen-E-Mails missbrauchen oder den Besitzer unter Druck setzen, damit er eine nutzlose Schutz-Software kauft. Darum müssen Computerbenutzer eine Vireninfektion des PCs unbedingt verhindern.

Einer der derzeit prominentesten Computerviren trägt den Namen "Conficker". Windows-Erfinder Microsoft und viele Sicherheitsspezialisten bekämpfen das Schadprogramm bereits seit Anfang 2009. Trotzdem ist es noch auf rund 6,6 Millionen PCs aktiv (Stand: Ende März 2010) und wartet auf Kommandos von seinen Entwicklern. So schätzt die Antiviren-Firma Symantec, die mit anderen Sicherheitsspezialisten die Virenverbreitung untersucht.

Viren verbreiten sich über USB-Sticks

Conficker ist so "erfolgreich", weil er nicht nur das Internet als Verbreitungsweg nutzt. Er kann sich vielmehr auf jeden Wechseldatenträger kopieren, der an einem verseuchten PC angeschlossen ist, vorzugsweise auf USB-Sticks. Wird ein befallener Stick an den Windows-Computer angesteckt, taucht scheinbar das gewohnte Fenster auf, in dem sich auswählen lässt, was mit dem Datenträger oder den darauf gespeicherten Dateien geschehen soll.

Dieses Fenster öffnet sich automatisch, wenn Sie einen mit dem Virus Conficker verseuchten USB-Stick an den PC anstecken.

Allerdings hat Conficker dieses so genannte "Autoplay"-Fenster (bei deutschem Windows: "Automatische Wiedergabe") manipuliert. Er tarnt sein Installationsprogramm verwechslungsträchtig mit dem üblichen Symbol zum Öffnen des Windows-Explorers. Nur wer genauer hinsieht, erkennt, dass beim Klick darauf nicht der Explorer aktiv wird. Glück für Benutzer einer deutschen Windows-Version: Es sind bisher nur englischsprachige Varianten von Conficker verbreitet. Wenn im "Automatische-Wiedergabe"-Fenster plötzlich ein englischer Befehl auftaucht, sollte die Täuschung auffallen. Conficker konnte sich mit dem USB-Trick vor allem in die Computernetzwerke vieler Firmen einschleichen. Denn auf diesem Weg muss er nicht am meist gut geschützten zentralen Internetzugang vorbei. Mittlerweile haben mehrere Schädlinge seine Fähigkeiten kopiert. Der Sicherheitsspezialist Kaspersky meldet in seiner Viren-Top-20 vom März 2010 drei, vom April noch eine grassierende Virus-Variante, die sich über USB-Sticks verbreiten kann.

Abwehr:
Keiner der aktuellen USB-Viren wird automatisch beim Anstecken eines verseuchten USB-Sticks aktiv. Es erscheint immer zuerst das manipulierte Windows-Standardfenster zu neu angeschlossenen Sticks. Ihr PC ist nicht in Gefahr, wenn Sie dieses Fenster ignorieren und über das "Schließen"-Kreuz oben rechts verschwinden lassen. In Windows 7 gibt es dieses Meldungsfenster zwar immer noch, doch lässt sich darin kein Programm auf dem Stick mehr starten, also auch kein Virus. Wollen Sie die "Automatische Wiedergabe"-Funktion für alle Wechseldatenträger abschalten, geht das mit der englischsprachigen Freeware Panda USB Vaccine. Sie müssen das Programm nur auf den Rechner entpacken. Nach dem Start des Programms genügt ein Klick auf "Vaccinate Computer".

Betrugssoftware wird immer radikaler

Die Virenmafia hat einen leichten Weg gefunden, um an das Geld von Computerbesitzern zu kommen: Sie erschrecken arglose Internetnutzer mit der Warnung vor einem Virus, der angeblich auf dem PC gefunden wurde. Das geschieht meist in plötzlich erscheinenden Fenstern, die wie Windows-Systemwarnungen aussehen. In Wirklichkeit handelt es sich um simple Werbefenster, wie sie im Internet üblich sind. Darin wird prompte Hilfe in Form einer kostenlosen "Antiviren-Software" angeboten, mit der man den Computer genauer untersuchen solle. Dieses betrügerische Pseudo-Schutzprogramm meldet in der Folge weitere Viren. Damit es die Schädlinge löschen kann, sei nun aber der Kauf einer Vollversion nötig.

Leider fallen viele Internetnutzer auf diese Betrugsmasche herein: Sie zahlen eingeschüchtert für ein Programm, das im besten Fall gar nichts tut, im schlimmsten Fall aber echte Viren auf den Computer schleust. Anfang 2010 tauchte vermehrt Betrugs-Software auf, die zusätzlich zu den Warnmeldungen vor angeblichen Viren auch den Zugriff auf beliebte Internetseiten wie Youtube und Facebook verhinderte. Schuld an der Blockade seien die gemeldeten Viren. So sollen die Opfer noch stärker zum Kauf der "Vollversion" gedrängt werden.

Abwehr: Sicherheitsprogramme sollten Sie nur installieren, wenn diese von einem vertrauenswürdigen Anbieter stammen. Beispielsweise G-Data Internet Security 2010 als 360-Tage-Version. Das Sicherheitspakt schneidet in den PC-WELT-Tests seit Jahren ausgezeichnet ab.

PDF-Dateien sind perfekte Virenträger

Beim Thema Viren denken viele zunächst an EXE-Dateien, die beispielsweise per E-Mail versendet werden. Dass Kriminelle Viren aber nicht nur durch solche Programme, sondern auch durch Musik-, Foto- und andere Dateien unter die Leute bringen können, ist nicht so bekannt. Vor allem das verbreitete PDF-Format wurde in den letzten Monaten extrem häufig als Schädlingsvehikel benutzt. Die Sicherheitsfirma Scansafe meldet, dass im vierten Quartal 2009 rund 80 Prozent aller Virenangriffe über PDF-Dateien stattfanden. Der Adobe Reader, das meistgenutzte Anzeigeprogramm für PDF-Dateien, erfüllt alle Voraussetzungen für einen Virenangriff: In ihm werden immer wieder Sicherheitslücken bekannt, die sich ausnutzen lassen. Zudem ist er auf fast allen PCs installiert. Außerdem laden viele Computerbesitzer Aktualisierungen für den Adobe Reader nur mit Verzögerung herunter. Das ist allerdings fahrlässig. Denn allein 2009 gab es zehn Aktualisierungen, die 107 teils gravierende Sicherheitslücken schlossen.

Manipulierte PDF-Dateien als Träger für einen Virus haben für Entwickler von Schadprogrammen noch einen weiteren Vorteil: Sie lassen sich mit so genannten Viren-Baukästen erstellen. Diese produzieren auf Knopfdruck Tausende von Varianten ein und desselben Schädlings. Die PDF-Varianten unterscheiden sich meist nur um ein einziges Bit. Doch das genügt schon, damit jede einzelne Abart einen anderen "Fingerabdruck" hat. Antiviren-Software kann solche gefährlichen PDF-Dateien nur über ausgefeilte Analyseverfahren blockieren. Die Programmierabteilungen der Hersteller von Schutz-Software würden den Virenentwicklern ob der Schädlingszahl sonst hoffnungslos mit Aktualisierungen hinterherhecheln.

Abwehr:
Eine gute Antiviren-Software sollte alle schädlichen Dateien blocken. Wichtig ist zudem, dass Sie alle von Ihnen verwendeten Programme stets auf dem neuesten (Sicherheits-)Stand halten. Dabei hilft Ihnen der Secunia Personal Software Inspector. Sie verringern die Gefahr von Virenangriffen zudem, wenn Sie auf weniger verbreitete Programme ausweichen. Diese sind erfahrungsgemäß für Virenprogrammierer nicht attraktiv. So können Sie beispielsweise statt des Adobe Readers den Foxit Reader einsetzen.

Getarnte Adressen führen auf Virenseiten

Diese Seite täuscht hier einen laufenden Windows Media Player vor und die Fehlermeldung soll glauben machen, der Media Player könne das Video nicht abspielen. Die angebotene Hilfsdatei ist dann ein Virus.

Würden Sie auf einer Internetseite mit einer Adresse wie http://lelqtr.com/ssn/littlew_was.htm eine seriöse Herstellerseite vermuten? Sicherlich nicht, und das mit Recht: Dabei handelt es sich um die hier leicht abgewandelte Adresse einer inzwischen stillgelegten Betrügerseite. Oft verrät schon die ungewöhnliche Internetadresse, dass es sich nicht um ein seriöses Angebot handeln kann. Wenn ein angeblich deutsches Unternehmen Sie etwa auf einer Internetseite mit russischer Adresse bedienen will, sollten die Alarmglocken laut klingeln. Darum nutzen Virenentwickler und Betrüger so genannte "Link-Verkürzer" wie Bit.ly (http://bit.ly) oder Ow.ly (http://ow.ly), um lange und wenig Vertrauen erweckende Internetadressen auf griffige Kurzversionen zu schrumpfen. Diese harmlos aussehenden Kurzadressen verbreiten sie dann über Nachrichtendienste wie Twitter. Die dort veröffentlichten Mitteilungen sind maximal 140 Zeichen lang. Die Betrüger locken dann mit Nachrichten wie "Hier findet ihr Videos von den Bombenanschlägen in Moskau: http://bit.ly/2Duy8N" auf virenverseuchte Seiten. Solche Nachrichten verbreiteten Kriminelle beispielsweise im Februar 2010 über mehr als 1800 Twitter-Konten. Diese Konten waren teilweise gehackt, teilweise für diesen Zweck erstellt worden. Auf der dazugehörigen Internetseite wurde dem Benutzer dann mit einem vorgeblichen Filmabspielprogramm ein gefährlicher Virus untergejubelt.

Das Bookmarklet "Long URL Please" verwandelt alle Kurzadressen in die normalen Langadressen.

Abwehr:
Kurzadressen sind eine praktische Erleichterung bei der Eingabe von Internetadressen und werden auch von PC-WELT im Heft eingesetzt. Allerdings können sie auch zur Tarnung von dubioser Adressen missbraucht werden. In Zweifelsfällen sollten Sie sich daher lieber erst die Originalfassung einer Internetadresse ansehen, bevor Sie auf die Kurzversion klicken. Das geht mit dem Bookmarklet Long URL Please. Bookmarklets sind Lesezeichen, die Sie etwa in der Lesezeichenleiste Ihres Browsers platzieren können. Sie enthalten aber keine Seitenadresse, sondern sind kleine Programme, die Aufgaben auf einer Internetseite erfüllen. Long URL Please verwandelt die meisten verkürzten Internetadressen direkt auf der Seite in die Langform zurück. Zusätzlich sollten Sie einen Internetseiten-Ratgeber wie Web of Trust installieren. Diese Erweiterung für Internet Explorer, Firefox und Chrome warnt vor verdächtigen Seiten.

Quelle: PC-Welt