Wie sich Schadprogramme im Jahr 2010 ausbreiten, das hat unlängst das Antiviren-Unternehmen Panda Soft idealtypisch nachgezeichnet: Man erhält über Facebook eine Nachricht, die vor einem Schädling warnt, und wird aufgefordert, diese Nachricht weiterzuleiten. Viel mehr steht nicht drin - nur noch der Name des vermeintlichen Schädlings. Da Nachrichten, die in sozialen Netzwerken kursieren, als vertrauenswürdig gelten, googelt man nach dem Namen und wird wirklich fündig. Allerdings führen die ersten Links, die die Suchmaschine listet, zu infizierten Webseiten.
Das Schadprogramm, vor dem gewarnt wird, existiert nicht, sehr wohl aber jenes, das Surfer sich zuziehen, wenn sie sich auf solche Tricks einlassen. Hacker nutzen die Heimeligkeit von sozialen Netzwerken aus. Und sie bestücken verseuchte Seiten so mit Schlüsselwörtern und verlinken so zu ihnen, dass sie im Ranking von Suchmaschinen ganz oben stehen. Blackhat SEO nennt sich diese Technik, Suchmaschinenoptimierung im Dienste von Dunkelmännern. Den Großteil ihrer Anstrengungen verwenden Hacker inzwischen darauf, Surfer zu verseuchten Sites zu locken, sagt Stefan Wesche von Symantec, so wie sie früher versuchten, Mail-Empfänger dazu zu verleiten, den Anhang anzuklicken:
"Also natürlich diese E-Mails, E-Mails mit Attachement, die bösartig sind, das ist nach wie vor ein Thema. Die sind nach wie vor aktiv. Aber es wird auch versucht, legitime Web-Sites zu hacken, die schlecht geschützt sind, und dort einen Drive-by-Download zu platzieren. Optisch sieht die original aus, wenn der User diese Seite ansurft – ohne etwas anzuklicken – wird aber im Hintergrund Schadsoftware heruntergeladen."
Es sind zunehmend seriöse Seiten, über die sich Schadprogramme ausbreiten. Das Antiviren-Unternehmen Kaspersky Labs beobachtet kontinuierlich einige 10.000 davon. Nach seinen Erkenntnissen war im Jahr 2006 nur eine von 20.000 Seiten gehackt und verseucht. Im vergangenen Jahr hingegen bereits eine von 150. Der Durchseuchungsgrad des Webs hat sich demnach in kürzester Zeit um mehr als den Faktor 100 erhöht. Für Hacker bringt der Verbreitungsweg über Webseiten gewaltige Vorteile mit sich: Sie können stets mit der neusten Schadsoftware angreifen, die stets die aktuellen Sicherheitslücken ausnutzt. Und auch die Schädlinge, die den Rechner befallen, setzen auf Geschwindigkeit. So sehr, dass Viren-Analysten wie Rainer Link von Trend Micro inzwischen nicht mehr zu sagen vermögen, welchen Schaden bösartige Programme im konkreten Fall anrichten. "Trojan Downloader" heißen sie meist. Und das bedeutet eigentlich nur, dass man nichts über ihre Schadfunktion wissen kann.
"Okay, der Trojan Downloader holt sich von einer bestimmten Web-Seite diesen Schad-Code herunter. Die Schwierigkeit ist aber natürlich, dass entweder anhand der IP-Adresse für eine Person A etwas anderes als Schadcode heruntergeladen werden wird als für die Person B, oder natürlich es auch so sein kann, dass vor einer halben Stunde ein ganz anderer Schadcode auf dem Web-Server zum Download angeboten wurde als jetzt."
Hacker können so sehr gezielte Angriffe fahren: Sie können Surfern in Deutschland einen Trojaner auf den Rechner schicken, der bei Web-Adressen von deutschen Banken aktiv wird, amerikanischen einen, der bei US-Banken aktiv wird. Hinzu kommt, dass es immer schwieriger wird, Schadsoftware zu erkennen, da sie im Web und auf dem Rechner des Anwenders laufend aktualisiert wird. Und außerdem sind die Anti-Viren-Unternehmen unisono der Ansicht, dass Rootkits dieses Jahr an Bedeutung gewinnen werden. Rootkits arbeiten auf der Betriebssystemebene. Das heißt, sie können Systemaufrufe manipulieren, etwa den eines Antivirenprogramms, das nach einem Rootkit sucht. Ein alter, aber gefährlicher Trick, meint Graham Cluley von Sophos:
"Ironischerweise gab es, als vor ungefähr 20 Jahren die ersten Computerviren auftauchten, Viren, die rootkit-ähnliche Techniken anwandten. Sie arbeiteten im Tarnmodus - wie ein Tarnkappenbomber. Wenn sie im Arbeitsspeicher waren, täuschten sie dem Betriebssystem vor, nicht existent zu sein: Sie waren unsichtbar."
Und das ist Schadsoftware auch heute noch: manchmal unsichtbar und immer omnipräsent.
Das Schadprogramm, vor dem gewarnt wird, existiert nicht, sehr wohl aber jenes, das Surfer sich zuziehen, wenn sie sich auf solche Tricks einlassen. Hacker nutzen die Heimeligkeit von sozialen Netzwerken aus. Und sie bestücken verseuchte Seiten so mit Schlüsselwörtern und verlinken so zu ihnen, dass sie im Ranking von Suchmaschinen ganz oben stehen. Blackhat SEO nennt sich diese Technik, Suchmaschinenoptimierung im Dienste von Dunkelmännern. Den Großteil ihrer Anstrengungen verwenden Hacker inzwischen darauf, Surfer zu verseuchten Sites zu locken, sagt Stefan Wesche von Symantec, so wie sie früher versuchten, Mail-Empfänger dazu zu verleiten, den Anhang anzuklicken:
"Also natürlich diese E-Mails, E-Mails mit Attachement, die bösartig sind, das ist nach wie vor ein Thema. Die sind nach wie vor aktiv. Aber es wird auch versucht, legitime Web-Sites zu hacken, die schlecht geschützt sind, und dort einen Drive-by-Download zu platzieren. Optisch sieht die original aus, wenn der User diese Seite ansurft – ohne etwas anzuklicken – wird aber im Hintergrund Schadsoftware heruntergeladen."
Es sind zunehmend seriöse Seiten, über die sich Schadprogramme ausbreiten. Das Antiviren-Unternehmen Kaspersky Labs beobachtet kontinuierlich einige 10.000 davon. Nach seinen Erkenntnissen war im Jahr 2006 nur eine von 20.000 Seiten gehackt und verseucht. Im vergangenen Jahr hingegen bereits eine von 150. Der Durchseuchungsgrad des Webs hat sich demnach in kürzester Zeit um mehr als den Faktor 100 erhöht. Für Hacker bringt der Verbreitungsweg über Webseiten gewaltige Vorteile mit sich: Sie können stets mit der neusten Schadsoftware angreifen, die stets die aktuellen Sicherheitslücken ausnutzt. Und auch die Schädlinge, die den Rechner befallen, setzen auf Geschwindigkeit. So sehr, dass Viren-Analysten wie Rainer Link von Trend Micro inzwischen nicht mehr zu sagen vermögen, welchen Schaden bösartige Programme im konkreten Fall anrichten. "Trojan Downloader" heißen sie meist. Und das bedeutet eigentlich nur, dass man nichts über ihre Schadfunktion wissen kann.
"Okay, der Trojan Downloader holt sich von einer bestimmten Web-Seite diesen Schad-Code herunter. Die Schwierigkeit ist aber natürlich, dass entweder anhand der IP-Adresse für eine Person A etwas anderes als Schadcode heruntergeladen werden wird als für die Person B, oder natürlich es auch so sein kann, dass vor einer halben Stunde ein ganz anderer Schadcode auf dem Web-Server zum Download angeboten wurde als jetzt."
Hacker können so sehr gezielte Angriffe fahren: Sie können Surfern in Deutschland einen Trojaner auf den Rechner schicken, der bei Web-Adressen von deutschen Banken aktiv wird, amerikanischen einen, der bei US-Banken aktiv wird. Hinzu kommt, dass es immer schwieriger wird, Schadsoftware zu erkennen, da sie im Web und auf dem Rechner des Anwenders laufend aktualisiert wird. Und außerdem sind die Anti-Viren-Unternehmen unisono der Ansicht, dass Rootkits dieses Jahr an Bedeutung gewinnen werden. Rootkits arbeiten auf der Betriebssystemebene. Das heißt, sie können Systemaufrufe manipulieren, etwa den eines Antivirenprogramms, das nach einem Rootkit sucht. Ein alter, aber gefährlicher Trick, meint Graham Cluley von Sophos:
"Ironischerweise gab es, als vor ungefähr 20 Jahren die ersten Computerviren auftauchten, Viren, die rootkit-ähnliche Techniken anwandten. Sie arbeiteten im Tarnmodus - wie ein Tarnkappenbomber. Wenn sie im Arbeitsspeicher waren, täuschten sie dem Betriebssystem vor, nicht existent zu sein: Sie waren unsichtbar."
Und das ist Schadsoftware auch heute noch: manchmal unsichtbar und immer omnipräsent.