Die Zukunft der Virenabwehr

DÜSSELDORF. Früher waren es meistens jugendliche Hacker, die aus Experimentierfreude und für Ruhm in der Szene Schadprogramme verbreitet haben. Heute stecken fast ausschließlich hochprofessionelle Hacker-Organisationen dahinter, die vor allen Dingen nach Profit streben und eine ebenso profitorientierte kriminelle Kundschaft bedienen. Mit erbeuteten Kontodaten, dem Verkauf von ausgespähten Betriebsgeheimnissen oder der Vermietung von Rechner-Netzen zum Verschicken von Spam-Mails lassen sich Milliardenumsätze erwirtschaften. Deshalb kann sich die Hacker-Mafia mittlerweile hoch bezahlte Spezialisten leisten, die schwer abzuwehrende und dabei einfach zu bedienende Schadprogramme entwickeln.

Herkömmliche Virenscanner, die mit einer „Blacklist“ bekannter Schadprogramme arbeitet, tun sich mit dem Erkennen und Entschärfen derartiger Software zunehmend schwer. Zudem können die Updates der Liste mit den bekannten Signaturen immer erst eine Weile nach dem Auftreten neuer Viren online gestellt werden. Die Schwierigkeit, seine Anti-Virenprogramme aktuell und wirksam zu halten, hat sich außerdem zunehmend vergrößert, weil neue Schadsoftware in immer kürzeren Intervallen erscheint.

  Computerviren-Quiz (Teil 1): Testen Sie
Ihr Wissen über Viren und Würmer

Wie hoch entwickelte Schadsoftware funktioniert

Ein Beispiel für die differenzierte Funktionsweise eines Schadprogramms ist der Infektionsmechanismus des Software-Pakets "MPack", das von einer Hackerbande aus Russland an interessierte Abnehmer verkauft wird. MPack wird einfach als PHP-Anwendung auf einem betriebsbereiten Webserver installiert. Danach muss der „Anwender“ lediglich genügend Internet-Nutzer zu einem Besuch dieses Servers verleiten. Dazu kann er sich zum Beispiel in häufig besuchte Webseiten einhacken und dort kleine Programm-Schnipsel einfügen, die den Browser eines Besuchers automatisch umleiten. Er kann auch eine eigene Webseite erstellen, deren Domainname die geringfügige Abwandlung einer großen und bekannten Internetseite darstellt. Internet-Nutzer, die sich beim Eingeben der bekannten Adresse vertippen, landen dadurch auf dem infizierten Server.

MPack erstellt bei jedem Besucher eine Analyse darüber, welcher Internet-Browser und welches Betriebssystem auf dessen PC verwendet werden. Liegen diese Informationen vor, versucht MPack eventuell vorhandene Sicherheitslücken auszunutzen. Im Lieferumfang der Software ist zu diesem Zweck gleich eine Vielzahl möglicher Schadprogramme ("Exploits") enthalten. Ist der Browser auf dem Ziel-PC längere Zeit nicht aktualisiert worden, oder ist für die letzte Sicherheitslücke noch kein Update verfügbar, veranlasst dort der Code eines erfolgreichen Exploits das Herunterladen weiterer Schadprogramme. Erst dadurch wird die eigentliche schädliche Funktion (zum Beispiel eine Protokollfunktion für Tastatureingaben) auf dem Zielrechner installiert. In der Datenbank des MPack-Servers wird abschließend ein Eintrag abgelegt, der die Daten zur IP-Adresse, zum erfolgreichen Exploit und zum Land des infizierten Rechners enthält.

Lesen Sie weiter auf Seite 2: Schutz mit umgekehrten Vorzeichen