|
Im
Vergleich zu den vergangenen Jahren, wo die Infektionsrate von PCs
jährlich um 50 Prozent anstieg, wurde von Seiten der bekannten
Hersteller von Antivirenprogrammen für das Jahr 2003 eine vorsichtige
Entwarnung gegeben. Erstmals seit 1990 war die Entwicklung
rückläufig. Der Schutz durch Antivirenprogramme ist effizienter
und das Wissen um die Gefahr von Viren ist bei den Anwendern größer
geworden.
Keine
Entwarnung!
Für
Windows-Anwender ist dies jedoch bei weitem kein Grund zum Aufatmen.
Die Fähigkeiten moderner Viren im Durchdringen häufig eingesetzter
Firewalls und im deaktivieren von Virenscannern sind gestiegen. Die
jüngste Generation solcher Schädlinge wie beispielsweise Klez H
löschen nicht nur sofort Daten von der infizierten Festplatte.
Im Zeitalter der CD-Brenner verfügen die meisten Anwender über
Datensicherungen auf CD und somit sind derartige Datenverluste
leichter zu verschmerzen. Ziel der neuen Viren sind Mailprogramme,
Officedokumente und Serverapplikationen. Der
vergleichsweise selten zu findende Virus Off97com.xla
hinterlässt, wenn er einige Wochen unbemerkt auf der Festplatte
gewütet hat, ein digitales Schlachtfeld. Bei von ihm bearbeiteten
Excel-Sheets wurden einzelne Zahlenbits vertauscht, was bei
Buchhaltungsdaten einen ungleich höheren Schaden verursacht als das
einmalige Formatieren einer Festplatte.
Früher
wurden solche Schädlinge in drei Kategorien unterteilt: Viren,
Würmer und Trojaner. Diese einfache Trennung ist nicht mehr zeitgemäß.
Selbst die vom Antiviruslab
vorgenommene Unterteilung in Trojaner, Bootsektor-Viren,
Stealth-Viren, polymorphe Viren, E-Mail-Viren und Hoaxes hat
Schwächen. Der seit einiger Zeit im Umlauf befindliche
Loveletter-Virus gehört sowohl zu den polymorphen als auch den
E-Mail-Viren.
Während
die Infektionsraten durch Boot- und Dateiviren ständig sinken,
steigt die Gefahr durch eine Infektion über das World Wide Web
extrem an. Die Klez-Viren gehören sowohl der Klasse der Viren als
auch der Klasse der Würmer an, welche die Fortpflanzung über
Outlook beherrschen. Klez F wird automatisch aktiv, wenn eine
damit infizierte Mail in der Vorschau von Outlook oder
Outlook-Express betrachtet wird. Wie erfolgreich diese Methode ist
mag daran zu erkennen sein, das Klez F für 20 % alle
Infektionen im Jahr 2002 verantwortlich zeichnet. Gleiches gilt für
seinen nahen Verwandten Klez H (a. k. a. W32.Klez H@amm).
Für
Verwirrung sorgen seit Monaten Meldungen über Viren, die angeblich
Bilddateien infizieren und sich damit erstmals über
nicht-ausführbare Dateien verbreiten. Der Virus W32/Perrun
gilt als erster JPG-Wurm. Angeblich ist das reine Betrachten einer
Mail ausreichend, um den Rechner und vor allem JPG-Dateien zu
infizieren. Tatsache ist jedoch, dass auch dieser Virus auf einen
EXE-Anhang setzt. Wird dieser unvorsichtigerweise geöffnet erfolgt
eine Änderung innerhalb der Registrierungsdatenbank der zur Folge
hat, dass alle lokal befallenen JPG-Dateien kurzerhand in
EXE-Dateien umgewandelt werden. Diese neuen Dateien beginnen
anschließend ihre zerstörerische Arbeit.
So
arbeiten die Antivirenprogramme
Scanner
sind das übliche Arbeitswerkzeug von Antivirenprogrammen. Mit Hilfe
von Prüfsummenverfahren können Veränderungen an Dateien
festgestellt werden, ohne dass die Software deren kompletten Inhalt
überprüfen muss. Tritt eine Prüfsummendifferenz auf, so wird die
betreffende Datei nach verdächtigen Zeichenketten durchleuchtet.
Der Virenscanner versucht nun, die Veränderungen innerhalb der
Datei rückgängig zu machen indem die neuen, u. U. virenbehafteten
Teile gelöscht und evtl. Einträge innerhalb der
Registrierungsdatenbank ebenfalls entfernt werden.
Älter
Virentypen waren auch durch Mustererkennungsroutinen aufzuspüren,
da bestimmte Teile ihres Codes unverschlüsselt und stets identisch
waren. Basis sind hier Datenbanken, welche die typischen Virenmuster
enthalten welche mit mutmaßlich befallenen Dateien verglichen
werden. Bei modernen Computerviren ist dieses Verfahren erfolglos.
Antivirenprogramme versuchen durch Simulation den möglichen Aufbau
einer verseuchten Datei herauszufinden, was eine langwierige
Prozedur darstellt. Ist auch die Simulation nicht erfolgreich
erfolgt eine so genannte Cryptoanalyse, mit deren Hilfe der Virus
entschlüsselt werden kann.
Neuere
Viren werden zudem über heuristische Verfahren entdeckt. Hierbei
werden alle ausführbaren Programme auf virulente Aktionen
analysiert. Überprüft werden die Anfangs- und Endbereiche der zu
prüfenden Programme. Die
derzeit modernste und wohl geschickteste Methode beruht auf der
dynamischen Analyse: Vor dem Programmstart wird von Seiten des Antivirenprogramms
ein virtueller Computer erzeugt. In dieser
synthetischen Umgebung, die über einen abgeschotteten
Speicherbereich verfügt, hat das Antivirenprogramm die
Möglichkeit, bösartigen Code sofort zu erkennen und kann
entsprechend reagieren. Diese
Technologie wird beispielsweise bereits von Norton Antivirus genutzt
und kommt dort unter der Bezeichnung Bloodhound zum Einsatz.
Die
XP-Firewall (ohne Service Pack 2)
Hacker
nutzen üblicherweise vorhandene Sicherheitslücken, um in ein
Rechnersystem einzudringen. Aus diesem Grund stellt das Einspielen
der aktuellsten Sicherheitspatches für das eingesetzte
Betriebsystem die wichtigste Schutzvorkehrung gegen solche
unerwünschten Besucher dar. Die für Windows 2000 und Windows XP
vorhandenen Servicepacks und Patches ersetzen natürlich keine
Firewall aber reduzieren die Angriffsmöglichkeiten von Hackern.
Auch
wenn Microsoft regelmäßig diese Sicherheitsupdates
veröffentlicht, so kann dies mitunter mehrere Wochen dauern. Neu
entdeckte Schlupflöcher können somit von Hackern in aller Ruhe
ausgenutzt werden. Vielleicht auch aus diesem Grund verfügt Windows
XP über eine integrierte und leicht konfigurierbare Firewall. Alles
was zunächst einmal getan werden muss, ist das Setzen eines
Häkchens im Eigenschaften-Fenster der DFÜ-Verbindung
(Registerkarte Erweitert). Die Firewall birgt jedoch zwei
Schwächen, zum einen werden keine ausgehenden Daten überprüft und
zum anderen ermöglicht die Unterstützung von Universal Plug and
Play (UPnP) das Passieren von Drittanbietern wodurch Trojanern Tür
und Tor geöffnet werden. Setzen Sie jedoch keine andere Firewall
eines anderen Anbieters ein, so sollten Sie die XP-interne Firewall
auf jeden Fall aktivieren.
Gefahr
durch Dialer
Hinter
Dialern verbergen sich entweder 0190 oder 0900 Vorwahlnummern zur
Einwahl ins Internet. Sie treffen ausschließlich Anwender mit
Wählleitungen (Modem und ISDN). Wer innerhalb eines internen
Netzwerkes oder über einen T-DSL-Anschluss ins Internet geht, muss
keines dieser Abzock-Programme fürchten.
Dialer
überschreiben während ihrer Installation die vorhandenen
Einstellungen für die DFÜ-Verbindung. Danach surft der Anwender
für bis zu 1,86 Euro pro Minute. Der Schwindel fällt meist erst
bei Erhalt der nächsten Telefonrechnung auf. Ein Blick in die
Eigenschaften der DFÜ-Verbindung und die Modemeinstellungen zeigt,
ob sich ein Dialer eingeschlichen hat.
Für
ISDN-Kunden steht bspw. das Freeware-Programm Capi-Dog
zur Verfügung.
Gehen Sie mit einem Modem ins Internet, so stellt das Web.de-Utility
Smart Surfer eine gute Wahl
dar. Zudem kennt es auch Internet-by-Call-Anbieter und deren Tarife.
Desktop
Firewalls
Hacker
nutzen regelmäßig so genannte Portscans. Hierbei werden
automatisiert Adressnummern (IP-Adressen) angesprochen um
festzustellen, ob die jeweiligen Rechner aktiv sind. Anwender mit
einer Flatrate und Rechner mit einer festen IP-Adresse sind hier in
gefährdet.
Gefahren
lauern jedoch nicht nur vor der Firewall. Bereits auf dem lokalen
Rechner befindliche Viren (Trojaner) nehmen gerne (unbemerkt vom
Anwender) Kontakt mit der Außenwelt auf. Dies kann von Desktop
Firewalls meist nicht unterbunden werden. Hier ist weiterhin ein
aktueller Virenscanner von Nöten.
Die
einfache Installation einer Firewall reicht jedoch nicht, um einen
Rechner vor Angriffen aus dem Internet zu schützen. Jede Firewall
verfügt über bereits vordefinierte oder selbst erstellbare
Regelsätze. Mit deren Hilfe können Freigaben und Sperren
individuell angepasst werden und der Schutz gegen ungebetene Gäste
wird erheblich wirksamer.
Unsere
Empfehlung:
Für einzelne Rechner stellt ein Verbund von Virenscanner und Desktop Firewall die derzeit beste Versicherung gegen Viren und
Internetattacken dar. Beide Anwendungen müssen jedoch zwingend
gepflegt bzw. aktualisiert werden.
Alle führenden Hersteller von Antiviren-Tools haben mittlerweile beide Programmtypen im Angebot. Richtig lukrativ wird es dann, wenn Sie sich beide Produkte in einer so
genannten Security Suite anschaffen. So lassen sich die Ausgaben oftmals um bis zu 40 Prozent reduzieren.
Links zu den bekanntesten Anbietern von Antivirensoftware, Desktop-Firewalls und Security Paketen:
Agnitum,
H+B Edv,
McAfee, Norman, Steganos,
Symantec, Zonelabs, Sygate
|