Dieter Goschler
Die Grenze von 25.000 verschiedenen Computerviren wurde durchbrochen. Wochentlich werden mehr als 120 neue Spezies entdeckt und analysiert. Doch mit den neuen Virentypen verandert sich das bedrohungsbild zusatzlich. Was sich hinter den Kulissen der Offentlichkeit bei den Virenjagern abspielt, verrat dieser bericht.
Die Infektionswege der "aktivsten" Virenspezies - Macro-Viren
Briefbomben aus dem Netz
Die Wahrscheinlichkeit, dab ein Computervirus zuschlagt, ist dank moderner Datenkommunikation uber das Internet und neuen Infektionsmoglichkeiten wie Makroprogrammierung, ActiveX Controls, Applets und Script-Programmierung deutlich hoher geworden. Wahrend der verursachte Schaden pro Virusbefall dank guter Virenschutzprogramme zuruckgeht, steigt gleichzeitig wieder die Zahl der Infektionen an.
Die Hauptquellen fur einen Virenbefall haben sich gewandelt. Makroviren, die sich in Dokumenten verstecken und Viren, die sich uber das Internet verbreiten losen die Raubkopien und dubiose bbS-Downloads als Virenquelle Nummer 1 ab.
Die Chance, sich uber das Internet einen Virus einzufangen, ist bedrohlich hoch. Sie schleichen sich uber E-Mail Attachments als Text oder binardateien ein, oder werden beim Web-Surfen als ActiceX-Control oder andere |Hostile Applets“ vom unwissenden oder unvorsichtigen Anwender selbst auf den eigenen Computer geladen. Wenn sie dann vielleicht bemerkt werden, ist es in den meisten Fallen schon zu spat.
Dabei konnen die eingeschleusten Programme nicht nur zu Datenverlusten fuhren. Die digitalen Schadlinge lassen sich auch von Hackern benutzen, um Computer auszuspionieren, Pabworter zu sammeln und andere interessante Daten uber den gleichen Weg wieder heraus und an den besitzer des Virus zu transportieren.
Elektronische Dietriche als neue Werkzeuge fur Hacker
Eine neue Generation von trojanischen Pferden begann im Sommer ’98 auf sich aufmerksam zu machen. Das backdoor-Programm |back Orifice“ fuhrte der breiten Offentlichkeit die Moglichkeiten des |heimlichen Fernsteuerns“ eines Computers uber das Internet vor. In der Zwischenzeit existieren bereits neben duzenden dieser Mini-Fernsteuerungs-Programmen auch andere Trojaner, die sich ebenfalls uber eMail-Attachments, News-Group-Eintrage oder einfach nur getarnt als nutzliche Programme in den Computer des unbedarften Internet-Surfers einschleichen und dort ihre subversiven Tatigkeiten entfachen. Ein sehr anschauliches beispiel fur die Schadensmoglichkeiten dieser Art von Programmen zeigt der Makrovirus WM.Polyposter.A, der Ihre private Korrespondenz heimlich kopiert und in bekannten News-Gruppen wieder veroffentlicht.
Quer durchs |Office“
Die Makroviren erobern weitere bereiche. So wurde vor kurzem von AVP/Kaspersky Lab der erste PowerPoint-Virus entdeckt und analysiert.
Die Evolution neuer Computerviren-Generationen verlauft grundsatzlich in zwei Ebenen. Die vertikale Ebene ist der Komplexitat des Virus und seiner Arbeitsweise zugeordnet, wahrend die horizontale Ebene die Fahigkeit des Virus, verschiedene Moglichkeiten zu seiner Verbreitung zu nutzen, beschreibt.
Die Haufigkeit der einzelnen Virenspecies
Die Entwicklung aller bekannten Virenspecies verlief grundsatzlich nach dem gleichen Muster und labt sich mit dem Wachstum eines baumes vergleichen. Die ersten Generationen einer Virenspecies entwickeln sich von einfachen Formen zu komplexeren Formen, sie werden speicherresident, konnen sich immer besser verschlusseln und werden schlieblich polymorph. Dies entspricht der Entwicklung des (vertikalen) Pflanzenstammes. Dann passiert ein entscheidender Schritt: Der Virus lernt, auf andere Infektionswege umzuspringen, File-Viren konnen bootsektoren infizieren, Makroviren verseuchen mit Erfolg auch Programmdateien, der Virus breitet sich nun auch horizontal uber mehrere betriebssysteme aus. Der baum beginnt, Aste und blatter auszutreiben, die Virengefahr multipliziert sich.
Wo setzt ein guter Virenschutz an?
Zuallererst in den Kopfen jedes einzelnen von uns. Virenbefall ist heutzutage wie ein Schnupfen kann jeden treffen. Ein wenig Vorsicht, die beachtung einiger grundlegender Regeln, kombiniert mit dem Einsatz eines anerkannt guten Virenschutzproduktes und laufende Information uber entsprechende Quellen halten Ihr System virenfrei.
Einfache Mabnahmen fur jedermann, um die Virengefahr zu verringern
Diese hier vorgestellten Mabnahmen sind von jedermann anwendbar, ersetzen jedoch nicht den Einsatz eines anerkannt sicheren Virenschutzprogrammes.
- Schalten Sie im bIOS die bootsequenz von A,C auf z.b. C,A um. Damit ist der Infektionsweg fur einen bootsektorvirus auf einer verseuchten Diskette quasi ausgeschaltet.
- Eine weitere sinnvolle bIOS-Option modernder Computer ist der integrierte boot-Viren Schutz durch die Uberwachung des Master-bootsektors.
- Eine Makroviren-Invasion labt sich sehr leicht einbremsen, wenn man fur den Daten- und Dokumentenversand ein Datenformat wahlt, welches keine Makros unterstutzt, wie etwa das Rich Text Format (RTF). Dieses Format wird von allen guten Textverarbeitungssystemen erkannt, so dab Information und Formatierung erhalten bleiben, wahrend mogliche Makroviren (und auch andere Makros) nicht aktiv werden konnen.
- E-Mails, die im HTML-Format versandt werden, konnen infizierte Applets oder gefahrliche Scripts enthalten. Wenn Sie keinen Online-Scanner einsetzen, kann eine solche E-Mail allein durch das Offnen und Lesen bereits einen Virus freisetzen. Offnen Sie in so einem Fall Ihre E-Mails immer im Textmodus und nicht mit dem Webbrowser. Scannen Sie Attachments bevor Sie sie offnen.
- Java-Applet, ActiveX Controls und HTML-Scripts sind zwar auch, aber schwerer in den Griff zu bekommen. Zwar lassen sich die entsprechenden Sicherheitsfunktionen zur blockade der Controls und Scripts aktivieren, doch stehen dann oft auch nicht die gesamte bandbreite an Moglichkeiten und Animationen einer Webseite zur Verfugung, die der Anbieter Ihnen |ruberbringen“ wollte. Hier hilft nur ein spezieller Virenscanner, integriert in eine Firewall oder von einigen Virenschutz-Unternehmen auch als Stand-Alone Version angeboten.
Entscheidungshilfe fur Virenschutzprogramme
Ein gutes Virenschutzprodukt mub in Abhangigkeit von Ihren Anforderungen grundsatzlich drei wichtige Faktoren erfullen.
- Online-Virenwachter. Neben dem manuell durchzufuhrenden Virenscan soll das Produkt auch einen permanent im Hintergrund arbeitenden Wachter besitzen. So kann man den notwendigen Virencheck der gerade downgeloadeten neuen Treiber nicht vergessen. Je besser das Produkt dabei an verschiedene Infektionswege abgestimmt ist - z.b. ein zusatzlicher E-Mail Wachter anstelle eines |normalen“ Wachtermodules, desto besser werden auch mogliche Lucken in der Uberwachung geschlossen.
- Regelmabige Updates der Virendatenbasis. Heutzutage werden bei guten Virenschutzprodukten uber 100 Viren WOCHENTLICH neu analysiert und eingebaut. Hinzu kommt, dab die kontinenteubergreifende Verbreitung eines neuen Virus nicht mehr Wochen oder Monate dauert, sondern dank Internet in Sekunden passieren kann. Deshalb bieten gute Virenschutz-Unternehmen auch wochentliche Updates ihrer Produkte an.
- Zertifizierter Virenschutz. Unabhangig vom Umfang, bedienerfreundlichkeit und Updatehaufigkeit soll der Virenscanner auch noch moglichst alle Viren FINDEN. Da Sie als Anwender dies nur schwerlich uberprufen konnen und die Verkaufsaussagen einzelner Anti-Viren Unternehmen sich stark von deren wirklichen Scanner-Qualitat abweichen, beachten Sie deshalb die regelmabigen Vergleichstests in Fachzeitschriften oder - noch besser - verwenden Sie nur von Fachinstitutionen getestete und als sicher zertifizierte Virenschutz-Software. Alle groben und guten Virenschutzhauser besitzen diese Zertifikate. Lassen Sie sich einmal die Zertifikate des von Ihnen verwendeten Virenschutzproduktes zusenden.
Die Haufigsten Viren
Wer bietet den besten Virenschutz?
Das Erfullen der Faktoren der |Entscheidungshilfe“ stellt die rudimentaren Anforderungen an ein gutes Virenschutz-Produkt. Um zu den besten der Welt zu zahlen, bedarf es allerdings einiges mehr.
Wahrend bedienbarkeit, Geschwindigkeit und lokales Supportangebot wesentlich sind, bilden Aktualitat, die Moglichkeit der Virenentfernung und Hitrate, Hitrate und nochmals Hitrate die KO-Kriterien, um zur Weltspitze zu gehoren.
Wer die meisten Viren findet, testen die Fachmagazine |Virus bulletin“ und |Secure Computing“ und das |VTC Hamburg“ in regelmabigen Abstanden. Hierbei heben sich immer wieder drei Produkte besonders heraus: Dr. Solomons Software, Data Fellow’s |F-Secure“ und Kaspersky Lab’s |AntiVirus Toolkit PRO“. Wahrend durch die Ubernahme von Dr. Solomon’s durch NAI die Hitrate bei diesem Produkt leider abgesunken ist, wurden F-Secure und AVP umso bestandiger. Wenn man jetzt noch berucksichtigt, dab in F-Secure ein lizenzierter AVP-Scanner lauft, so zahlt |AntiVirus Toolkit PRO“ von Kaspersky Lab’s als der derzeit beste Virenscanner weltweit.
Der |Konsumentenschutz“ fur Anti-Viren-Software: Virentestcentren und Zertifizierungs-Institutionen
Eine personliche Frage: Wurden Sie nur aufgrund der Aussagen eines Autoverkaufers ein neues Auto kaufen, oder lesen Sie auch zuerst ein paar Testberichte durch?
Welche Virenschutz-Produkte wirklich mit den aktuell vorhandenen Viren fertig werden, zeigen Ihnen einige der akkreditierten Zertifizierungs-Institutionen.
Das Fachmagazin |Virus bulletin“ fuhrt zweimonatlich einen Virentest auf die aktuell |In-the-wild“ vorkommenden Viren durch. Die |100% Zertifizierung“ bekommen nur jene Produkte, die 100% Prozent der |In-the-wild“ Viren erkennen konnen.
Diese Zertifizierung zeichnet alle jene Virenschutz-Produkte aus, die up-to-date sind und alle wichtigen Viren finden konnen.
Eine weitere international anerkannte Zertifizierungsstelle fur Datensicherheitsprodukte ist die ICSA, International Computer Security Association.
Damit ein Virenschutzprodukt das begehrte |ICSA Certified“-Logo tragen darf, mub es ebenso 100% der |in the wild“ (ITW) vorkommenden Viren erkennen und zusatzlich noch mindestens 90% von den uber 10.000 verschiedenen Virensamples der ICSA-Virenkollektion finden.
Das Sicherheitsmagazin |Secure Computing“ testet ebenfalls regelmabig Virenscanner auf 100% Erkennung aller ITW-Viren. Da solche Testverfahren zwischen den einzelnen Institutionen von einander unabhangig sind und deshalb zu unterschiedlichen Ergebnissen fuhren konnen, ist es am sichersten fur Sie und Ihre Daten, jenen Virenschutzprodukten den Vorzug zu geben, die mindestens 2 dieser drei Zertifikate vorweisen konnen.
Quelle: Ing. Dieter Goschler, INDIS Institut fur Datenschutz und Informationssicherheit, eMail: , http://www.indis.at