Security 2005: Cybercrime, Phishing und mobile Schädlinge
Nach wie vor nehmen die automatischen Netzviren, die per Port-Scan ohne das Zutun der Nutzer den Rechner über eine "Hintertür" infizieren, nur einen geringen Anteil am Gesamtaufkommen der Internet-Schädlinge ein. Das Gros der Schädlinge kommt über die "Vordertür" E-Mail-Briefkasten auf die Rechner der Nutzer. Die Top-Ten-Viren in den diesjährigen Viren-Hitlisten - Varianten von Zafi, Netsky, Sober und Mytob - verbreiten sich allesamt als Anhang von Massenmails und müssen, um aktiviert zu werden, zuerst einmal vom Nutzer angeklickt werden.
Die Tarnungen der virenverseuchten E-Mails
Würmer: Gefürchtet E-Mails
Foto: dpa
Die Virenschreiber ließen sich im Jahr 2005 einiges einfallen, ihre
virenverseuchten E-Mails so geschickt zu tarnen, dass neugierige Nutzer sich zum
Klick auf den Virenanhang verleiten ließen. Im Januar lockte eine Mail mit
Schlagzeilen des US-Nachrichtensenders CNN. Wer
darauf hereinfiel, hatte sich einen Trojaner eingefangen, der fähig war, die
Kontrolle über das System zu übernehmen und zusätzlich einen Keylogger installierte,
der Passwörter und PIN-Nummern abfischte. Noch im Januar tauchten erneut die
schon 2004 beliebten falschen Telekom-Rechnungen
auf - im Anhang befand sich ein Trojaner. Im Februar köderte der Wurm Bobax-H
die Nutzer mit Beweisfotos vom Tode Saddam Husseins
oder der Meldung von der Ergreifung Osama Bin Ladens. Wurde das
vorgebliche Beweisfoto angeklickt, deaktivierte der Wurm die Antiviren-Software
und installierte ein Mail-Relay-Modul, das Hacker für den Spam-Versand verwenden
konnten.
Im Mai versteckte sich Sober.P in einer Mail, die vorgab, eine Nachricht über
die Verlosung der WM-Tickets zu enthalten. Im Juni
machte die Nachricht von der Verhaftung Bin Ladens
erneut die Runde, und eine Nachricht,
Michael Jackson habe einen Selbstmordversuch
begangen, lockte die Nutzer auf eine Internetseite, die einen Virus installierte.
Im August gab es Geburtstags-Glückwünsche von
einem Trojaner, der nebenbei das System nach sensiblen Daten ausspähte, und ein
neuer Telekom-Trojaner öffnete Hintertüren, über
die Angreifer von außen Zugriff auf das System erhielten. Der September brachte
dann die gefälschte eBay-Email mit inklusivem Trojaner.
Im Oktober waren die Klassentreffen virenverseucht,
und der Anhang einer Mail, die eine neue Skype-Version
versprach, war, wie nicht anders zu erwarten, wieder einmal ein getarnter Trojaner.
Der November brachte dann millionenfache Mails mit FBI-, CIA- oder
BKA-Warnungen - anstelle von polizeidienstlichen
Details fand der getäuschte Nutzer im Mailanhang aber nur Sober.X mit Schadroutine.
Schädlings-Routinen zeigen vergleichbare Mustern
"Der Trojaner verbreitet sich per E-Mail und installiert auf infizierten Systemen im Hintergrund eine Backdoor, über die Angreifer von Remote-Standorten Zugriff auf das System erhalten können." Dieses Zitat aus einer Trojaner-Meldung könnte wortgetreu in beliebigen anderen Schädlings-Meldungen erscheinen: Die Routinen der verschiedenen Schädlinge verfahren sämtlich nach vergleichbaren Mustern. Ist der Schadcode durch Öffnen des Anhangs einmal aktiviert, werden zunächst die auf dem Rechner installierten Antiviren-Programme ausgeschaltet. Einige Viren-Varianten modifizieren zusätzlich die Windows Host-Datei und blockieren die Verbindung zu den Webseiten der Antiviren-Hersteller. Die nächste Routine ist die Installation einer Backdoor und die Kontaktaufnahme mit Servern im Internet von denen entweder zusätzliche Viren-Komponenten heruntergeladen werden oder weitere Aktionen synchronisiert werden.