Leserfragen zur IT-Sicherheit Zombie will man nicht wirklich werden
Leserfrage von Klaus Hecker: Seit geraumer Zeit erhalte ich ominöse E-Mails mit der Ankündigung "Ihre Ware steht bereit oder "Dokumente im Anhang usw., oder Mails über Leistungen, die angeblich nach einem Webseitenbesuch zu erbringen sind. Alle zeichnet aus: Der Hinweis, die Anhänge doch bitte zu öffnen, um weiteres zu erfahren.
In der Mail selber sind die entscheidenden Worte durch den Buchstaben *x* unkenntlich gemacht. Da wir weder im Internet einkaufen noch dritte Personen haben, die Zugang zum PC haben, ist das alles sehr seltsam. Komischerweise tauchen diese Mails nur einmal auf, ein zweites Mal kommen sie in veränderter Form mit anderen Daten. Und dann herrscht Ruhe, dann ist es vorbei.
Meine Frage nun: Haben diese Mails eventuell etwas mit Viren etc. zu tun? Warum erreichen sie mich immer wieder, obwohl ich die Absender zu den Junk-Mails hinzufüge und den Absender blockiere?
Achim Kraus, IronPort Systems : Bei den von Ihnen beschriebenen E-Mails handelt es sich ganz klar um mehr oder weniger professionelle Betrugsversuche.
Das Prinzip dahinter ist einfach: Die Versender kommen an Ihre E-Mail-Adresse auf allen möglichen Wegen, etwa aus Adressbüchern von Ihren Freunden oder Geschäftspartnern oder auch nur durch simples und zufälliges Erraten. Mit einem möglichst glaubwürdigen Vorwand sollen Sie dazu bewegt werden, auf einen Dateianhang (engl.: Attachment) zu klicken und diesen durch einen einfachen Mausklick auszuführen. Folgen Sie dieser Aufforderung, wird auf Ihrem PC ein Code, also ein ausführbares Programm eingeschleust und Ihr Rechner ist infiziert und trägt zur weiteren Verbreitung dieser unerwünschten Mails bei.
Man spricht dann von sogenannten Zombie-PCs: Das sind Computer, die von einem Virus, Trojaner oder anderer Spyware befallen werden und anschließend ferngesteuert unerwünschte Inhalte verbreiten, ohne dass der Anwender etwas davon bemerkt.
Das Blockieren der Absender nützt in diesem Fall leider nichts, da die Absenderadressen meist frei erfunden, auf jeden Fall aber gefälscht sind und sich sehr schnell und permanent ändern. Auch das Verschieben in den Junk-Ordner sorgt lediglich dafür, dass die Mail an einem anderen Ort gespeichert wird und hat keinerlei Schutzwirkung.
Denn da auch der Inhalt dieser E-Mails wird zu einem bestimmten gewissen Grad immer wieder verändert, so dass Technologien zur Erkennung von Junk-Mail oft nicht greifen. Zudem ist der Funktionsumfang der weit verbreiteten Standard-E-Mail-Programme auf der Sender-Seite sehr gut bekannt und wird gezielt umgangen.
Mein Tipp: Der einzige, sehr gute und für alle E-Mail-Systeme wirksame Schutz ist, niemals Dateien oder Links von Absendern anzuklicken, die Sie nicht kennen. Selbst bei befremdlichen Inhalten von Bekannten sollten Sie vorsichtig sein. Im Zweifel vor dem Öffnen kurz beim Absender anrufen.
Noch einige Hinweise, wie sich unerwünschte Mails erkennen lassen: Oft sind in den E-Mail-Texten keine auf Sie bezogenen Daten enthalten. Daran erkennen Sie, dass die E-Mail-Inhalte automatisiert erzeugt wurden - unabhängig vom ebenfalls automatisiert ausgewählten und eingesetzten Empfänger. Wenn im E-Mail-Text doch ein Empfänger-bezogener Hinweis enthalten ist, handelt es sich meist nur um die exakte Widergabe Ihrer E-Mail-Adresse. Alleine diese Verbindung bestätigt Ihnen, dass es sich um eine einfache, maschinell erstellte E-Mail handelt, die nichts mit einem auf ihre Person bezogenen Vorgang zu tun hat.
Auch in diesem Umfeld gibt es qualitativ bessere und schlechtere E-Mails. Man denke nur an die Anfänge der Phishing-E-Mails, die damals sehr oft eindeutige Rechtschreibfehler in der Betreffzeile und im E-Mail-Text enthielten. Im Vergleich dazu sind die heutigen Versionen meist deutlich schwieriger von den Originalen der Banken zu unterscheiden. Auch hier gilt: Nachrichten immer auf personenbezogene Daten prüfen!
Popups, critical errors, angeblich hilfreiche Programme und Updates: Verlogene Helferlein
Frage von Leserin Hanna Koch: Ich habe auf meinem Rechner eine Art Virus, der zwar anscheinend nichts demoliert, aber ganz schön nervt. Die ganze Zeit, etwa alle fünf Minuten, poppen auf meinem Bildschirm Nachrichten auf, das ich einen "critical error" auf dem Computer hätte, und dass ich ein "registry cleaning" durchführen solle und werde auf Homepages verwiesen, die da heißen "clean32" oder "registrycleaner".
Natürlich gehe ich da nie drauf. Was hat es damit auf sich, und was soll ich dagegen tun? Meine Computerdaten: Ich habe einen Laptop aus dem Jahr 2002, Betriebssystem war ursprünglich Windows XP. Nachdem ich mit XP nur Schwierigkeiten, sprich Viren, hatte, habe ich jetzt Windows 2000 professional und damit auch keine Probleme. Außer der Freeware "Spybot Search & destroy" habe ich momentan keinen Virenschutz, hatte aber mal Norten aufgespielt und damit war das Problem nicht zu beheben. Ins Internet gehe ich per DSL.
Alexander Peters, MessageLabs: Die von Ihnen genannten Webseiten sind in der Tat bekannt für die Verbreitung von Malware (allgemeiner Begriff für schädliche Software). Es ist anzunehmen, dass Ihr Rechner ungeschützt direkt mit dem Internet verbunden ist. Heutzutage ist die Halbwertzeit zwischen der Zeit, in der ein schlecht oder ungepatchtes Windows-System ungeschützt direkt mit dem Internet verbunden wird, und dem Zeitpunkt, an dem der Rechner angegriffen und mit Schadcode infiziert wird, wenige Minuten (maximal Stunden). Die Malware von "registrycleaner" und "clean32" verbreitet sich durch unwerwünschte Messenger-Pop-Ups.
Es dürfte interessieren, dass gerade Windows 2000 ein sehr beliebtes Angriffsziel für Viren ist, da dessen Benutzer selten die aktuellsten Microsoft-Patches und Updates einspielen. Somit gibt es auf diesen Systemen viele Schwachstellen, welche dann durch Viren oder Netzwerkangriffe ausgenutzt werden (sogenannte "Exploits"). Windows XP bietet hier zwei konkrete Vorteile: automatische Updates und die integrierte Firewall.
Insbesondere mit einer DSL-Leitung, welche in der Regel "always on" ist und möglicherweise ohne Router/Firewall direkt am Rechner endet, wird das oben genannte Windows-2000-System ständigen Angriffen aus dem Internet ausgesetzt sein. Da wäre es in der Tat nicht weiter verwunderlich, wenn der Rechner mit diverser Malware infiziert ist.
Das kostenlose Tool "Spybot Search & destroy" ist in der Tat ein recht beliebtes und auch effektives Werkzeug gegen Spyware (das ist eine Art von Schadcode unter vielen), bietet jedoch bei weitem keinen ausreichenden Schutz gegen Viren und Angriffe aus dem Internet. Es ist auch denkbar, dass ein entsprechender Schadcode die Effektivität dieses Tools ausgehebelt hat und der vermeintliche "Schutz" nur scheinbar besteht.
Ich würde empfehlen, auf die Webseiten mindestens eines der namhaften AntiVirus-Hersteller zu gehen, und dort entweder eine Testversion von deren AntiVirus-Sofware zu downloaden und damit den Rechner zu scannen oder gleich online einen Virus- und Spyware-Check durchzuführen.
Am effektivsten ist der Einsatz von sogenannten AntiVirus-Live-CDs, mit denen der Rechner gebootet werden kann und der dann die Festplatte einem AntiVirus Check unterzieht, ohne dass das Betriebssystem Windows geladen wird. Somit wird auch vermieden, dass möglicherweise schon installierter Schadcode bzw. Rootkits die Infektion "unsichtbar" machen.
Es ist auf jeden Fall auch empfehlenswert, sowohl eine AntiVirus Software zu installieren, welche sich automatisch Updates aus dem Internet zieht, sowie einen DSL-Router mit Firewall einzusetzen.
Man sollte auch sicherstellen, dass das Windows Betriebssystem immer alle aktuellen Patches eingespielt hat.
Wenn der Virenscanner vor Windows-Dateien warnt: Wie kann man echte von Fehlalarmen unterscheiden?
Leserfrage von Michael Sax: Ich erlebe immer wieder das Problem, dass meine Virenerkennungssoftware eine Datei als Virus meldet. Wie kann ich sicher sein, dass sie nicht eine für den Betrieb des Rechners wichtige und notwendige Datei fälschlicherweise als Virus deklariert und ich mit dem Löschen derselben Unheil anrichte? Manchmal kann man zwar am Namen oder der Bezeichnung der Datei erkennen, dass es sich um ein Programm, oder eine harmlose Exe-Datei handelt und nicht um einen Virus, aber nicht immer ist das so einfach ersichtlich. Wie kann ich das einigermassen sicher unterscheiden?
Dirk Kollberg, McAfee: Schädlinge nutzen oft Dateinamen, die Systemdateien sehr ähnlich sind oder sogar den gleichen Namen tragen, sich jedoch in ein anderes Verzeichnis als das Original abspeichern. Sollten Sie eine Meldung von Ihrem Anti-Virus-Programm über eine infizierte Datei erhalten, die Sie schon seit langer Zeit nutzen und als sicher einstufen, sollten Sie auf jeden Fall hellhörig werden.
Wenn Sie den Verdacht auf einen Fehlalarm haben, überprüfen Sie zunächst die Webseite Ihres AV-Software-Herstellers und suchen nach einer Beschreibung des Schädlings in der Datenbank. Desweiteren können Sie eine Kopie der Datei von Ihrem Rechner auch an den Hersteller zur Untersuchung einsenden und um eine Überprüfung bitten.
Grundsätzlich sollte man sich bei einer Viren-Meldung des Scanners über den Schädling informieren. Sollte ein Schädling den Weg in den Rechner über eine Schwachstelle im Betriebsystem gefunden haben (über ein sogenanntes Exploit), finden Sie in den Beschreibungen, die die Sicherheitsanbieter meist online für Ihre Nutzer zur Verfügung stellen, wertvolle Informationen über die Gefährlichkeit des Schädlings, über Wege zur Lösung des Problems (Schliessen der Sicherheitslücke und Entfernen der infizierten Datei) und wie Sie sich in Zukunft vor weiteren Schädlingen schützen können.
