Virenprogrammierer sind ganz versessen auf Ihren Rechner, denn jeder neue verseuchte PC bringt den Programmierern und Kriminellen mehr Geld.
Haben Hacker etwa ein paar hundert PCs mit einem Bot infiziert, dann vermieten sie diese Computer an Spammer, die darüber millionenfach ihre Werbemails aussenden. Auf der anderen Seite gibt es immer mehr Schädlinge, die es auf Ihre Daten, Log-ins, Online-Banking-Infos und Kreditkartennummern abgesehen haben. Wir klären über die 10 fiesesten Viren-Fallen im Internet auf und sagen, wie Sie Ihren Rechner schützen.
Verbreiter von Malware nutzen den Hype um neue Software, um ihre Schädlinge unters Volk zu bringen. Beispiel Windows 7: Schon mehrere Tage, bevor Microsoft die Vorabversion (Release Candidate) zum Download bereitgestellt hat, zirkulierte in Tauschbörsen ein Download mit diesem Namen. Viele Anwender, die es nicht abwarten konnten, sind darauf hereingefallen. Statt des Betriebssystems erhielten sie eine Scareware, also ein betrügerisches, vorgebliches Antivirusprogramm. Bereits im Januar haben Online-Kriminelle auf die gleiche Weise das Interesse an Apples neuer Software iWork ’09 ausgenutzt, um einen Bot zu verbreiten. Sie haben damit ein Botnet aus gekaperten Macs aufgebaut.
Abwehr: Nicht jede Antiviren-Software erkennt Scareware und blockt sie ab, wenn sie gerade frisch in Umlauf gebracht wurde. Daher lautet die Abwehrstrategie, Software aus fraglichen Quellen entweder gar nicht herunterzuladen oder aber erst in einer virtuellen Maschine zu testen.
Phishing bezeichnet eine Methode, bei der eine Mail mit gefälschtem Absender den Nutzer auf eine gefälschte Website lockt. Dort soll das Opfer seine persönlichen Daten und Log-ins verraten. Ist die Seite gut gemacht, also etwa eine perfekte Nachbildung der Website einer Bank, dann stolpern tatsächlich etliche Anwender in die Falle. Trickreich gemacht war eine Phishing-Attacke auf Anwender von Microsoft Outlook Anfang Juni 2009. In der Phishing-E-Mail wurden die Benutzer aufgefordert, ihr E-Mail-Programm über ein Online-Verfahren neu zu konfigurieren. Der beigefügte Link führte angeblich zu Microsoft, tatsächlich aber auf eine Phishing-Site. Dort sollten die Anwender ihren Benutzernamen und ihr Passwort angeben. Dadurch erlangten die Kriminellen die Kontrolle über das Mailkonto des jeweiligen Benutzers. Andere Mails dieser Art verwiesen auf einen Virus.
Abwehr: Überprüfen Sie vor der Eingabe von Log-in-Daten immer, ob die Adresse oben im Browser die der gewünschten Website ist. Nutzen Sie zudem einen Link-Scanner und ein Antiviren-Programm.
Per Mail oder Suchmaschinen-Spam verbreiten Kriminelle Links zu angeblich besonders spannenden oder lustigen Web-Videos. Wer den Link anklickt, landet auf einer Seite, auf der es noch keinen Clip zu sehen gibt. Es wird nur ein Bild angezeigt, das ein abspielbereites Video vortäuscht. Wer dieses Video per Klick zum Starten bringen will, bekommt eine Aufforderung, die neueste Version von Adobe Flash Player herunterzuladen und zu installieren.
In besonders gut gemachten Fällen landet das Opfer auf einer Download-Site, die dem Original von Adobe täuschend ähnlich sieht. Der Server der gefälschten Site steht meist in Ländern mit einem unterentwickelten Internet-Recht. So bleiben diese Sites lange online. Damit aber nicht genug. Lediglich der eigentliche Download-Link und die Web-Adresse, in der jeweils "addobe" statt "adobe" steht, weisen bei genauer Betrachtung auf die Täuschung hin. Die zum Download angebotene Datei heißt wie das Original "install_flash_player.exe" und trägt das gleiche Symbol. Damit enden jedoch die Gemeinsamkeiten. Was unvorsichtige Web-Surfer mit der Datei tatsächlich erhalten, ist Malware: ein Trojanisches Pferd, das Anmeldedaten für das Online-Banking ausspionieren soll.
Abwehr: Das beste Mittel gegen solche Schädlinge ist erhöhte Wachsamkeit, wenn Sie von einer Web-Seite zum Download von Updates aufgefordert werden. Prüfen Sie die Download-Adresse genau, und installieren Sie zusätzlich einen Link-Scanner.
Online-Kriminelle adressieren die Neugier, indem sie mit Nacktbildern von Stars und Sternchen locken. Immer häufiger geschieht dies in sozialen Netzwerken. Bei Linkedin waren zum Beispiel eine Zeitlang gefälschte Profile von Britney Spears, Beyoncé, Shakira, Victoria Beckham und Hulk Hogan online. Darin waren Links zu Websites enthalten, auf denen es angeblich intime Fotos zu sehen geben sollte. Doch statt nackter Tatsachen erhielten arglose Anwender einen Trojaner über einen gefälschten Flash-Player oder per Drive-by-Download.
Abwehr: Unbekannte Websites sollten Sie über einen virtuellen PC oder mit Sandboxie aufrufen.
Websites von Prominenten sind ein beliebtes Ziel von kriminellen Hackern, die Malware verbreiten wollen. Der hohe Bekanntheitsgrad sichert eine große Zahl von Besuchern und damit potenziellen Opfern.
Im April dieses Jahres hatte es die offizielle Website von Ex-Beatle Paul McCartney erwischt. Nach dem Eindringen in den Webserver haben die Kriminellen etliche Seiten so präpariert, dass sie per Drive-by-Download automatisch Malware auf die Rechner der Besucher übertragen. Die Surfer hatten nichts auf der Site angeklickt und waren dennoch allein durch den Besuch der Seite infiziert.
Abwehr: Den besten Schutz bietet auch hier das Surfen innerhalb einer virtuellen Maschine oder in Sandboxie. Wenn es Ihnen zu umständlich ist, diese Methoden auch für bekannte und häufig genutzte Seiten zu nutzen, raten wir zumindest zu Antivirenprogramm und Link-Scanner.
Zusätzliche Symbolleisten im Browser sind beliebt – manche Anwender haben bereits so viele installiert, dass kaum noch Platz für die Inhalte der Web-Seiten bleibt. Diese Beliebtheit nutzen Kriminelle aus: Vor kurzem ist zum Beispiel eine manipulierte Internet-Explorer-Symbolleiste für das beliebte soziale Netzwerk StudiVZ aufgetaucht. Sie sieht absolut echt aus, hat aber einen Schädling im Gepäck, der auf mehreren Wegen Daten des befallenen PCs ausspioniert. Die Sicherheitsexperten von MCafee haben ihn als Variante des Trojanischen Pferds Backdoor-CEP klassifiziert.
Der Schädling verhält sich passiv, wenn bestimmte Sicherheitsprogramme laufen oder er in einer virtuellen Maschine ausgeführt wird. Ansonsten injiziert er Schad-Code in laufende Prozesse. Der Schädling ist nur schwer zu entdecken, denn er wird nie als Datei auf die Festplatte geschrieben.
Nach der Toolbar-Installation startet der Internet Explorer und ruft die Website von StudiVZ auf. Wenn sich der Anwender dort einloggt, greift der Schädling die Anmeldedaten ab. Die ausgespähten Daten werden an einen Server in Deutschland übertragen.
Schutz: Laden Sie Software jeglicher Art nur von absolut vertrauenswürdigen Quellen herunter, und prüfen Sie vor dem Download, ob die Web-Adresse im Browser stimmt oder gefälscht ist. Für StudiVZ gibt es übrigens keine offizielle Toolbar.
Durch so genannte Drive-by-Downloads ("Herunterladen im Vorbeifahren") werden beim Besuch manipulierter Websites heimlich Schädlinge in den Rechner geschleust. Es handelt sich also um einen verdeckten Angriff auf ahnungslose Besucher einer vermeintlich harmlosen Website. Der Browser des Anwenders dient dabei dem Angreifer als Hilfsmittel, um schädlichen Code in dem Rechner unterzubringen.
So funktioniert der Angriff: Zunächst präparieren die Kriminellen eine Website, auf die potenzielle Opfer gelockt werden sollen. Zum Teil hacken sie dazu bereits bestehende Sites. Eine andere Methode ist es, eine eigene Internet-Site zu eröffnen.
Auf einer solchen Web-Seite sind dann Javascripts und/oder unsichtbare Rahmen (Iframes oder Inlineframes genannt) eingebettet, die weiteren Code von einem anderen Server holen. Sie ermitteln den vom Besucher verwendeten Browser und laden passenden Exploit-Code, der eine Sicherheitslücke des Browsers ausnutzt.
Ohne dass der Besucher davon etwas bemerkt, wird so ein Trojanisches Pferd in seinen Rechner geschleust und ausgeführt. Der PC wird damit zum Beispiel Teil eines Botnets. Diese wiederum dienen etwa dazu, Spam zu versenden. Zudem spioniert der Wurm oft persönliche Informationen aus, etwa Passwörter zu Online-Diensten oder die Kreditkartennummer.
Abwehr: Installieren Sie eine Antiviren-Software, und installieren Sie jedes Browser-Update sofort nach Erscheinen. Installieren Sie zusätzlich einen Link-Scanner.
Virenverbreiter speichern seit Neuestem ihre Malware auch auf One-Click-File-Hostern, etwa Rapidshare. Dort kann jeder Anwender Dateien ablegen und für andere zum Download anbieten. Über solche Hoster umgehen Schädlinge die URL-Filter: Diese blocken im Prinzip recht zuverlässig Websites, auf denen sich Viren tummeln. Google führt eine ausführliche schwarze Liste mit gefährlichen Sites, die von Browsern wie Firefox und Chrome genutzt wird. Die One-Click-File-Hoster stehen aber in der Regel auf einer weißen Liste und werden von URL-Filtern nicht geblockt.
Der Sicherheitsspezialist Ralf Benzmüller von G-Data warnt: "Nicht nur Rapid-share ist betroffen. Auch andere Datei-Hosting-Dienste, etwa Mediafire.com, Uploaded.to und Uploading.com, werden zur Verbreitung von Malware missbraucht. Oft werden die Dateien als neueste Versionen von Software, aktuelle Tools oder gecrackte Software angepriesen."
Abwehr: Setzen Sie immer eine aktuelle Antiviren-Software ein. Laden Sie Software nur von Hersteller-Sites und bekannten Download-Archiven wie hier bei PCWelt herunter.
Über Sicherheitslücken in Browser-Plug-ins – etwa fürs Anzeigen von PDF-Dokumenten – schleusen Kriminelle Viren ins System. Das geschieht ohne Zutun des Anwenders. Man muss nur eine speziell präparierte Web-Seite im Browser aufrufen. Diese enthält einen Inlineframe, der etwa auf ein schädliches PDF-Dokument auf einem chinesischen Server verweist. Über eine Sicherheitslücke in älteren PDF-Plug-in-Versionen landet der Virus im System. Damit ahnungslose Anwender solche Web-Seiten auch aufrufen, haben die Kriminellen seit Anfang Juni 2009 mehrere hundert Domains mit anrüchigen Namen erstellt. So landen dort Internet-Surfer, die nach Erwachseneninhalten im Netz suchen.
Abwehr: Aktualisieren Sie stets alle Programme und Plug-ins, die auf Ihrem PC installiert sind. Setzen Sie zudem eine aktuelle Antiviren-Software ein.
Last.fm (www.lastfm.de) ist ein Online-Musik-Katalog, über den sich kostenlos Musik hören lässt und der von seinen Anwendern selbst zusammengestellt wird. Wer sich dort anmeldet, gibt dem System allerdings auch persönliche Infos preis. Auf diese haben es Phisher abgesehen, die über das interne Nachrichtensystem Botschaften verschicken.
Die Nachrichten lauten etwa "Hey, schau Dir mal Dein Bild in meinem Blog an." Die dazugehörige Web-Adresse ist durch einen URL-Verkürzer unkenntlich gemacht. Wer darauf klickt, wird auf eine Website gelenkt, die der Log-in-Seite von Last.fm zum Verwechseln ähnlich sieht.
Abwehr: Überprüfen Sie vor der Eingabe von Log-in-Daten immer, ob die im Browser angezeigte Adresse stimmt. (Quelle: AOL Computer & Sicherheit in Zusammenarbeit mit PC Welt - 25.9.09)