Wer sich nicht mit Linux oder einem Apple-Rechner anfreunden kann und das weit verbreitete Windows benutzt, muss mit einer Art Fluch leben: Die meisten Computerviren und Würmer attackieren ausschließlich Windows-Rechner. Seit genau 25 Jahren gibt es diese lästigen digitalen Schädlinge: Im Januar 1986 ist der erste Virus namens Brain aufgetaucht.
Brain hat Rechner mit MS-DOS infiziert. Eigentlich war Brain als Kopierschutz gedacht: Zwei junge Programmirer aus Pakistan wollten damit eine Software schützen, die sie geschrieben haben. Eine zweifelhafte Methode, ein Werk zu schützen, indem man in den Rechner eines anderen eindringt – leider eine Methode, die bis heute praktiziert wird. Auch heute sind viele Kopierschutzmechanismen technisch betrachtet nichts anderes als Viren.
Seit 25 Jahren gibt es nun also Computerviren. Eine Vierteljahrhundert Ärger mit schädlichen Programmen, auch „Malware“ genannt. Die Zahl der Schadprogramme ist regelrecht explodiert: Es gibt mittlerweile hunderttausende Computerviren, Würmer und Trojaner. Waren Viren anfangs noch eher eine Spielerei von Bastlern, die zeigen wollten, was alles möglich ist, haben die meisten Schadprogramme heute einen eindeutig kriminellen Hintergrund: Sie sollen in der Regel Daten ausspionieren oder Rechner manipulieren – und sollen irgend jemandem Geld bringen.
Computerviren sind ein gutes Geschäft. Aber durchaus auch der Schutz davor: Es gibt unzählige Programme, die vor den digitalen Bedrohungen schützen sollen – ob zu Hause oder in der Firma. Unzählige Berater und Autoren verdienen gutes Geld damit, dass es Viren und Würmer gibt.
Die Funktionsweise von Computerviren hat sich in den letzten 25 Jahren verändert. Sie werden immer ausgefuchster, das beweist nicht zuletzt der Computerwurm Stuxnet, der gezielt Atomanlagen im Iran angreifen soll. Doch die meisten Computerviren sollen ganz normale PCs angreifen und sind eine Bedrohung für jeden ehrlichen Computerbenutzer. Sie dringen ins System ein, manipulieren Systemdateien, verändern oder kopieren Daten.
Die meisten Viren und Würmer greifen Windows-Rechner an. Viele denken, Linux und Mac seien virenfrei. Doch das stimmt nicht: Auch für diese Betriebssysteme gibt es Viren und Würmer, allerdings deutlich weniger. Zum einen, weil sie lange sicherer waren als Windows, vor allem aber, weil diese Betriebssysteme weniger stark verbreitet sind als DOS und Windows und für Angreifer daher weniger attraktiv. Ganz allgemein muss man sagen: Je bunter die Computerwelt ist, je mehr Betriebssysteme, Versionen und Programme im Einsatz sind, desto schwieriger wird es für Viren und Würmer, erfolgreich zu sein.
Es sind immer wieder die eher misteriösen Dinge, die die Menschen faszinieren – vor allem, wenn sie auch noch potenziell bedrohlich sind. Auf Stuxnet trifft all das zweifellos zu: Der Computerwurm macht seit einer Weile die Runde und steht im Verdacht, auch Atomanlagen im Iran zu befallen.
Zum ersten Mal hat ein Wurm Industrieanlagen im Visier und nicht die Festplatten von PCs. Ich glaube zwar nicht, dass es wirklich das erste Mal ist, aber zum ersten Mal ist es bekannt geworden. Und tatsächlich liegt die Vermutung nahe, dass ein Geheimdienst dahinter steckt, denn wer sonst hätte einen Grund, so etwas zu programmieren?
Neben dem Motiv ist es auch noch eine Frage der Ressourcen, denn einen Wurm wie Stuxnet zu programmieren ist eine Meisterleistung. Hier werden nicht nur bislang unbekannte Sicherheitslücken ausgenutzt, allein das ist schon bemerkenswert, sondern eben auch Industrieanlagen manipuliert. Das wiederum setzt Kenntnisse voraus, die ein normaler Hacker nicht so ohne weiteres hat.
Stuxnet stellt alles auf den Kopf. Wir werden uns daran gewöhnen müssen, dass Viren und Würmer nicht mehr von Wochenend-Hackern entwickelt werden (das sowieso schon lange nicht mehr), auch nicht von Kriminellen, die sich vor allem einen finanziellen Vorteil verschaffen wollen, sondern immer öfter von Geheimdiensten und Regierungen. Computer und Datennetze entwickeln sich zu einem attraktiven Ziel. Die potenzielle Bedrohung nimmt zu.
Es gibt Dateien, die kann man gar nicht oft genug auf Viren überprüfen. Wer zum Beispiel Dateien an Schüler, Mitarbeiter oder Kunden verteilt, sollte nicht nur dem heimischen Virenscanner vertrauen. Um auf Nummer sicher zu gehen lassen sich Dateien online mit über 30 Virenscannern überprüfen.
Gute Multi-Virenscanner gibt es von folgenden Anbietern:
Das Prinzip ist bei allen gleich: Die suspekte Datei wird per Onlineformular zum Scan-Anbieter geschickt. Sobald der Upload abgeschlossen ist, dauert es rund eine Minute, bis das Scanergebnis erscheint. Der Bericht verrät, mit welchen Scan-Engines geprüft wurde und ob alle grünes Licht gegeben haben.
Achtung: Dateien mit vertraulichen oder sensiblen Daten sollten nicht Onlinescannern geprüft werden, da man nie sicher sein kann, wer die Daten nach dem Upload zu Gesicht bekommt.
Conficker macht die Runde: Fachleute befürchten, dass beseits über 50 Millionen Rechner infiziert sein könnten. Was der Wurm konkret anstellen wird, steht noch nicht fest: Der eigentliche Schadcode wird über eine Backdoor nachgeladen.
Schon längere Zeit gab es keinen Computer-Virus oder Wurm mehr, der besonders erfolgreich gewesen wäre. Doch nun geistert wieder ein Wurm durch die Netze, der äußerst erfolgreich eine Sicherheitslücke ausnutzt und Millionen von PCs befällt. Fachleute befürchten 50 Millionen infizierte Rechner weltweit.
Müssen nun alle Computerbenutzer befürchten, Opfer des Wurms zu werden? Wer ist betroffen?
Der Wurm nutzt eine Sicherheitslücke in Windows aus, die schon seit Monaten bekannt ist, seit November 2008, um genau zu sein. So lange treibt auch der Wurm bereits sein Unwesen, bislang unbemerkt, aber nun hat ein finnischer Sicherheitsexperte (F-Secure) festgestellt, dass sich der Conficker überraschend schnell ausbreitet.
Panda Software hat errechnet, dass sogar schon sechs Prozent aller PCs befallen sein sollen. Was darauf hindeutet, dass viele Windows-Benutzer ihr System noch nicht aktualisiert und damit gestopft haben. Wie das bei Würmen so ist: Als Benutzer merkt man nicht, dass der eigene PC infiziert ist, zumindest nicht ohne Weiteres, denn der Wurm richtet derzeit keinen Schaden kann, macht nichts Auffälliges. Conficker zielt vor allem auf vernetzte PCs ab, also vor allem auf Rechnern in Firmennetzwerken. Privatrechner können zwar auch betroffen sein, sind aber gar nicht das eigentliche Ziel.
Welcher Schaden wird angerichtet, was macht der Wurm?
Erst mal passiert nichts. Allerdings öffnet Conficker eine so genannte „Backdoor“, eine Hintertür. Das bedeutet: Infizierte PCs können jederzeit ferngesteuert werden, denn sie kommunizieren mit den Urhebern des Wurms – via Internet. Das ist nichts Ungewöhnliches. Ein infizierter Rechner kann jederzeit weiteren Schadcode nachladen, etwa ein Programm zum Ausschnüffeln der eigenen Daten, oder ein Programm, um andere Server zu attackieren oder um Spam zu verschicken.
Alles ist möglich. Wenn Tausende von solchen Computern zu einem Netzwerk zusammengeschlossen werden, wird das „Botnet“ genannt: Damit lässt sich eine Menge Schaden anrichten, weil unzählige Computer weltweit gleichzeitig dasselbe machen könnten.
Wie verbreitet sich der Wurm eigentlich?
Der Wurm nutzt verschiedene Wege, um PCs zu infizieren – das macht die Eindämmung so schwierig. In einer ersten Phase werden Sicherheitslücken in Windows ausgenutzt, um es auf einen PC im Netzwerk zu schaffen. Einmal im Netzwerk, versucht der Wurm, das Administrator-Passwort jedes einzelnen PCs zu knacken, durch Trial-und-Error-Methoden. Mit dem Administrator-Konto kann man in einem Netzwerk eine Menge anstellen. Gelingt es das Passwort zu knacken, ist alles möglich, dann kann sich der Wurm ungehindert im Netzwerk verbreiten. In der dritten Phase verteilt sich der Wurm auch über USB-Sticks, externe Festplatten und freigegebene Ressourcen im Netzwerk. Auch übers Internet.
USB-Sticks sind besonders gefährlich, denn wird ein infizierter Stick auf einen nicht-infizierten Computer gesteckt, sorgt die Autorun-Funktion im Stick/in Windows dafür, dass der Wurm schalten und walten kann – und der Benutzer kann nichts dagegen tun. Hier setzt auch die Kritik vieler Experten an Microsoft an.
Kann man sagen, wer dahinter steckt? Wer hat den Wurm auf den Weg gebracht, und warum?
Computerwürmer haben keine Copyright-Angaben, keine Urhebervermerke. Aber Experten vermuten, dass der Wurm aus Osteuropa kommt, namentlich Russland oder Ukraine. Die Machart, die Handschrift des Wurms deutet auf eine Bande aus Russland/Ukraine hin, die mit Software Unternehmen erpresst. Der Wurm ist ganz ähnlich gestrickt. Außerdem versucht der Wurm, Befehle und Code von russischen Servern zu beziehen. Auffallend auch, dass in der ersten Phase Rechner mit ukrainischem Zeichensatz verschont blieben.
Was tun?
Virenschutz aktualisieren, Windows aktualisieren. Und Online-Scanner benutzen, die den PC untersuchen – und gegebenenfalls den Wurm entfernen, sollte er vorhanden sein.
Wer Excel-Dateien weitergibt, merkt oft gar nicht, dass die Tabelle versteckte Makros enthält. Das wird spätestens dann deutlich, wenn der Empfänger nachfragt, warum beim Öffnen eine Warnung vor einem Makrovirus erscheint. Die Weitergabe von Makros geschieht oft unbemerkt. Wer für eine neue Tabelle zum Beispiel eine Vorlage oder eine alte Arbeitsmappe als Basis verwendet, übernimmt auch die darin enthaltenen Makros.
Um „saubere“ Excel-Tabellen weiterzugeben, sollten – sofern nicht benötigt – alle darin enthaltenen Makros entfernt werden. Das geht am schnellsten über die Tastenkombination [Alt]+[F8]. Im folgenden Fenster im Feld „Makros in“ den Eintrag „Diese Arbeitsmappe“ auswählen, um nur die Makros aus der aktuell geöffneten Excel-Datei anzuzeigen. Dann die nicht benötigten Makros markieren und mit einem Klick auf „Löschen“ aus der Arbeitsmappe entfernen. Wer nicht sicher ist, wozu das Makro gut ist, kann mit einem Klick auf „Bearbeiten“ einen Blick in den VBA-Quellcode werfen.
Windows XP wirft seit dem Service Pack 2 ein Auge auf die Sicherheit des Systems. Bei fehlenden oder fehlerhaften Sicherheitskomponenten schlägt Windows Alarm und weist zum Beispiel darauf hin, dass kein Antivirenprogramm vorhanden ist – selbst dann, wenn das Virenschutzprogramm schon lange installiert und auf dem neuesten Stand ist.
Der Grund: Mitunter erkennt Windows XP das Antivirenprogramm nicht und zeigt trotz korrekter Installation die Warnhinweise. Zum Glück lassen sich die überflüssigen Warnfenster deaktivieren.
So geht’s: In der Systemsteuerung doppelt auf „Sicherheitscenter“ klicken und unter „Virenschutz“ auf die Schaltfläche „Empfehlungen“ klicken. Im folgenden Fenster das Kontrollkästchen „Ich verfüge über eine Antivirusprogramm“ ankreuzen und die Fenster mit OK schließen. Jetzt verzichtet Windows auf den Warnhinweis, sobald es ein Problem rund um den Virenschutz vermutet. Das bedeutet aber auch: Das Virenschutzprogramm und die Updates der Virensignaturen müssen jetzt selbst überwacht werden.
Ein Virenschutzprogramm gehört mittlerweile zur Standardausstattung. Viele Anwender vertrauen den Virenwächtern renommierter Hersteller wie Symantec, F-Prot, G Data oder Kaspersky. Geprüft wird meist mit der herstellereigenen Scan-Engine. Wem das nicht reicht, kann verdächtige Dateien online von über 30 Virenscannern prüfen lassen. Das bietet sich vor allem an, wenn der eigene Virenwächter Alarm schlägt und geprüft werden soll, was andere Virenscanner zu suspekten Datei sagen.
Beim Antiviren-Experten „VirusTotal“ (https://www.virustotal.com/de) kann die verdächtige Datei per E-Mail oder Onlineformular zum Anbieter übertragen werden. Dort wird sie mit über 30 Virenscannern überprüft, zum Beispiel mit den Scannern von AntiVir, BitDefender, eSafe, F-Prot, G Data, Kaspersky, Norman, Panda, Sophos, Symantec oder TrendMicro. Das Ergebnis gibt’s per E-Mail oder direkt auf der Webseite. Sollte einer der Scanner einen Virus finden, wird die infizierte Datei zur Analyse automatisch an alle Virenscanner-Hersteller geschickt. Vertrauliche, sensible oder persönliche Daten sollten daher nicht online überprüft werden.
„VirusTotal“ schickt Dateien durch über 30 Virenscanner:
Und wieder mal eine gemeiner Attacke auf die PCs argloser Benutzer – ist gerade in meinem Briefkasten gelandet. Liest sich wie eine UPS-Nachricht, dass ein Paket nicht zugestellt werden konnte, ist aber natürlich eine böse Finte mit Schadcode. Angehängt ist ein Trojaner, der Daten ausspionieren will… (mehr …)
