Technische Hilfen und Informationen aus dem IT-Bereich

Sicherheitsexperten waren derzeit vor dem Trojaner Win32.Trojan Downloader.Bredolab.AA , der sich momentan über harmlos erscheinende PDF- und SWF-Dateien europaweit rasant verbreitet. Hat der Trojaner einen Rechner infiziert, so lädt er weitere Schadsoftware aus dem Internet herunter. Bredolab gehört europaweit bereist zu den Top 10 der Internet-Schädlingen.

Sicherheitsfachleute raten dringend davon ab auch harmlos erscheinende PDF- und SWF-Dateien aus unbekannten oder verdächtigen Quellen zu öffnen. Bredolab wird aktiviert, sobald eine mit ihm infizierte Datei geöffnet wird. Nach öffnen der infizierten Datei nistet er sich in den Systemdateien ein und wird bei jedem Bootvorgang des PCs automatisch gestartet.

Unbemerkt verbindet sich Bredolab sofort via HTTP-Verbindung mit einem Remote-Server und beginnt Adware, Spyware und weitere Schadsoftware herunter zu laden. Potentielle Angreifer können auf diesem Wege sensible Daten und Passwörter des Nutzers ausspähen oder seine Postfächer mit unerwünschter Werbung zumüllen. Im ungünstigsten Fall kann der Rechner zum Teil eines Botnets umfunktioniert und für den Versand von Spam oder Cyberattacken missbraucht werden.

Fachleute haben festgestellt, dass Bredolab sich inzwischen europaweit rasant ausbreitet. Während er in Tschechien und der Slowakei bereist der meist verbreitete Schädling ist, rangiert er in Österreich, Polen und der Türkei bereits unter den ersten 5. In Deutschland, England, Schweden, Belgien und Russland hat Bredolab es inzwischen auch bereits unter die unrühmliche Top-10 der Schädlingen geschafft.

Auch wir warnen vor der besonderen Gefährlichkeit von Bredolab, da er in der Lage ist unterschiedliche Schadsoftware hinzuladen. Je später ein Nutzer Bredolab entdeckt, je mehr Malware muss er auf seinem infizierten Rechner befürchten, das wiederum erschwert die komplette Desinfektion des Systems. Der Trojaner gilt als besonders hinterhältig, da er sich über das bis Dato eigentlich als wenig riskant geltende PDF-Format verbreitet.

Vorsicht, Seuchengefahr! Öffnen Sie auch nur einen falschen E-Mail-Anhang, ist Ihr PC schon infiziert! Dieser Bericht zeigt Ihnen, was sich hinter Dateiendungen wie .asf, .reg, .jpg und Co. verbirgt und wie Sie sich vor bösen Überraschungen schützen.

Die Nutzung von E-Mails ist längst zur Selbstverständlichkeit geworden. In Sekundenschnelle sind Glückwünsche, Geschäftsbriefe oder Urlaubsgrüße versandt. Den Adressaten erreichen aber nicht nur Textnachrichten, sondern auch Dateien aller Art. Filme, Programme, Musik- oder Bilddateien tummeln sich reichlich im Post-Eingangskorb.

Aber nicht alles, was reinkommt, ist auch vertrauenswürdig. Manipulierte Dateien erreichen das Innere des Rechners dabei nämlich nicht nur via USB-Stick, CD, DVD oder durchs Surfen im Internet. Ein häufiger Weg, wie Ihr Rechner mit verseuchten Dateien infiziert wird, ist der leichtfertige Umgang mit E-Mail-Anhängen.

Viele Schädlinge gelangen inzwischen per E-Mail auf den Computer, oft durch sogenannte E-Mail-Würmer. Häufig sind die Schädlinge in einer Datei versteckt und gelangen als Anhang einer E-Mail in den Computer. Weil der E-Mail-Verkehr rasant wächst, ist diese Verbreitungsmethode besonders effektiv.

So schützen Sie sich vor schädlichen Dateien
Je nach Dateiendung können Sie schon im Vorfeld erkennen, ob eine Datei im Mail-Anhang eine Gefahr darstellt oder eher nicht. So sind EXE-Dateien ausführbare Programm-Dateien, die sofort nach einem Doppelklick ihr schadhaftes Werk beginnen können. Txt-Dateien sind reine Textdateien, die erst einmal ungefährlich sind.

E-Mail Programme wie Outlook, Thunderbird, Eudora oder Pegasus bieten meist unzureichenden Schutz. Beachten Sie daher die Verhaltensregeln nd schützen Sie sich und Ihren Rechner vor unliebsamen Überraschungen:

Installieren Sie einen guten Virenscanner, der die Nachrichten in Ihrem E-Mail-Programm überwachen kann und aktualisieren Sie ihn regelmäßig.

Melden Sie sich nicht mit Administratorrechten an Ihrem Computer an, sondern nutzen Sie ein Profil mit eingeschränkten Rechten.

Führen Sie keine angehängten Dateien direkt aus dem Mail-Programm heraus aus. Ein Schädling könnte sich hinter einer doppelten Dateiendung verstecken oder mittels spezieller Tools so präpariert sein, dass er harmlos erscheint. Nicht vertrauenswürdige Mail-Anhänge, die Sie interessieren, speichern Sie am besten in einen separaten Ordner und lassen diesen erneut durch Anti-Viren- und Anti-Spionage-Programme durchleuchten, bevor Sie eine Datei öffnen.

Besondere Vorsicht ist geboten, wenn Dateien mit Endungen wie .exe, .com, .vbs, .bat, .sys, .reg im Anhang sind. Sie lauern nur auf einen Doppelklick. Diese ausführbaren Dateien starten nämlich unmittelbar und können sofort schadhaften Code auf Ihrem System verbreiten.

Eine weitere Gefahr sind getarnte Exe-Dateien, wie zum Beispiel sample.jpg.exe. Wird die letzte Dateiendung im E-Mail-Programm nicht angezeigt, ist Sample.jpg nur als Bild-Datei zu erkennen. Achten Sie darauf, dass in den Voreinstellungen nicht  Dateinamenerweiterungen bei bekannten Dateitypen ausblenden ausgewählt ist.

„Spionageprogramme“ („Spyware“) sind oft in Gratis-Software eingebaut, die als E-Mail-Anhang angeboten wird. Lassen Sie Anti-Spyware-Programme nach den Datenschnüfflern suchen und sperren Sie die Spionagesoftware aus.

Prinzipiell gilt: Vertrauen Sie keinen E-Mail-Anhängen von unbekannten Absendern. Auch durch Versprechungen im Text, der Anhang enthält tolle Programme oder flotte Video-Clips, sollten Sie sich nicht verleiten lassen. „Dateianhang nicht öffnen“ lautet hier die Devise.

Das Gefahrenpotenzial der 20 häufigsten Dateiendungen 

Quelle: Computerbild

Trojaner
Wie das Trojanische Pferd in der griechischen Mythologie verbergen Computer-Trojaner ihre eigentliche Aufgabe (und Schädlichkeit!) hinter einer Verkleidung. Meist treten sie als harmlose Software auf: Bildschirmschoner, Videodatei, Zugangsprogramm. Sie werden zum Beispiel als E-Mail-Anhang verbreitet. Wer das Programm startet, setzt damit immer eine verborgene Schadfunktion ein: Meist besteht diese aus der Öffnung einer sogenannten Backdoor, einer Hintertür, die das Computersystem gegenüber dem Internet öffnet und durch die weitere Schadprogramme nachgeladen werden.

Virus
Computerviren befallen vorhandene Dateien auf den Computern ihrer Opfer. Die Wirtsdateien funktionieren – zumindest eine Zeit lang - weiterhin wie zuvor. Denn Viren sollen nicht entdeckt werden. Sie verbreiten sich nicht selbständig, sondern sind darauf angewiesen, dass Computer-Nutzer infizierte Dateien weitergeben, sie per E-Mail verschicken, auf USB-Sticks kopieren oder in Tauschbörsen einstellen. Von den andere Schad- und Spähprogrammen unterscheidet sich ein Virus allein durch die Verbreitungsmethode. Welche Schäden er anrichtet, hängt allein vom Willen seiner Schöpfer ab.

Rootkit
Das kleine Kompositum führt die Worte “Wurzel” und “Bausatz” zusammen: “Root” ist bei Unix-Systemen der Benutzer mit den Administratorenrechten, der auch in die Tiefen des Systems eingreifen darf. Ein “Kit” ist eine Zusammenstellung von Werkzeugen. Ein Rootkit ist folglich ein Satz von Programmen, die mit vollem Zugriff auf das System eines Computers ausgestattet sind. Das ermöglicht dem Rootkit weitgehende Manipulationen, ohne dass diese beispielsweise von Virenscannern noch wahrgenommen werden können. Entweder das Rootkit enthält Software, die beispielsweise Sicherheitsscanner deaktiviert, oder es baut eine sogenannte Shell auf, die als eine Art Mini-Betriebssystem im Betriebssystem alle verdächtigen Vorgänge vor dem Rechner verbirgt. Das Gros der im Umlauf befindlichen Rootkits wird genutzt, Trojaner, Viren und andere zusätzliche Schadsoftware über das Internet nachzuladen. Rootkits gehören zu den am schwersten aufspürbaren Kompromittierungen eines Rechners.

Wurm
Computerwürmer sind in der Praxis die getunte, tiefergelegte Variante der Viren und Trojaner. Im strengen Sinn wird mit dem Begriff nur ein Programm beschrieben, das für seine eigene Verbreitung sorgt - und der Programme, die es transportiert. Würmer enthalten als Kern ein Schadprogramm, das beispielsweise durch Initiierung eines eigenen Mailprogramms für die Weiterverbreitung von einem befallenen Rechner aus sorgt. Ihr Hauptverbreitungsweg sind folglich die kommunikativen Wege des Webs: E-Mail, Chats, AIMs, P2P-Börsen und andere. In der Praxis werden sie oft als Vehikel für die Verbreitung verschiedener anderer Schadprogramme genutzt.

Drive-by
Unter einem Drive-by versteht man die Beeinflussung eines Rechners oder sogar die Infizierung des PC durch den bloßen Besuch einer verseuchten Webseite. Die Methode liegt seit einigen Jahren sehr im Trend: Unter Ausnutzung aktueller Sicherheitslücken in Browsern und unter Einsatz von Scripten nimmt ein auf einer Webseite hinterlegter Schadcode Einfluss auf einen Rechner. So werden zum Beispiel Viren verbreitet, Schnüffelprogramme installiert, das Browseranfragen zu Webseiten umgelenkt, die dafür bezahlen und anderes. Drive-bys sind besonders perfide, weil sie vom PC-Nutzer keine Aktivität (wie das Öffnen einer E-Mail) verlangen, sondern nur Unvorsichtigkeit. Opfer sind zumeist Nutzer, die ihre Software nicht durch regelmäßige Updates aktuell halten - also potenziell so gut wie jeder.

Bootnet
Botnets sind Netzwerke gekidnappter Rechner - den Bots. Mithilfe von Trojaner-Programmen, die sie beispielsweise durch manipulierte Webseiten oder fingierte E-Mails auf die Rechner einschleusen, erlangen die Botnet-Betreiber Zugriff auf die fremden PCs, können sie via Web steuern. Solche Botnets zu vermieten, kann ein einträgliches Geschäft sein. Die Zombiearmeen werden unter anderem genutzt, um millionenfache Spam-Mails zu versenden, durch eine Vielzahl gleichzeitiger Anfragen Websites in die Knie zu zwingen oder in großem Stile Passwörter abzugrasen.

Zero-Day-Exploit
Ein Zero-Day-Exploit nutzt eine Software-Sicherheitslücke bereits andem Tag aus, an dem das Risiko überhaupt bemerkt wird. Normalerweise liefern sich Hersteller von Schutzsoftware und die Autoren von Schadprogrammen ein Kopf-an-Kopf-Rennen beim Stopfen, Abdichten und Ausnutzen bekannt gewordener Lücken.

Risiko Nr.1: Nutzer
Das größte Sicherheitsrisiko in der Welt der Computer sitzt vor dem Rechner. Nicht nur mangelnde Disziplin bei nötigen Software-Updates machen den Nutzer gefährlich: Er hat auch eine große Vorliebe für kostenlose Musik aus obskuren Quellen, lustige Datei-Anhänge in E-Mails und eine große Kommunikationsfreude im ach so informellen Plauderraum des Webs. Die meisten Schäden in der IT dürften von Nutzer-Fingern auf Maustasten verursacht werden.

Deutsche Internetnutzer erreicht dieser Tage ein Warnung vor eMails mit dem Betreff “Einladung”. Diese sollen den gefährlichsten Virus enthalten, den CNN je angekündigt habe. Tatsächlich handelt es sich bei der Nachricht um eine Falschmeldung.

Virus zerstört die Festplatte

Die falschen Warnungen kommen von wohlmeinenden Bekannten, die sie unreflektiert weiterleiten. Im Text der Falschmeldung heißt es, es handele sich um “ein Virus, das eine Olympia-Fackel öffnet, die die gesamte PC-Festplatte zerstört.” Wer eine solche Mail erhalte, solle seinen PC sofort ausschalten. Es sei, so heißt es weiter, “das gefährlichste Virus, das je durch CNN angekündigt wurde.” Es sei “gerade gestern Nachmittag durch Mc Afee entdeckt” und “von Microsoft als das zerstörerischste, das es je gegeben hat, eingestuft” worden. Es gebe auch noch keine Möglichkeit diese Virusart zu eliminieren. Sie zerstöre einfach den “Sektor Zero” der Festplatte.

Virenwarnungen kommen nicht als Kettenbrief

Fakt ist jedoch, dass richtige Virenwarnungen nie als Kettenbriefe mit einer Aufforderung zum Weiterleiten heraus gegeben werden. Der “Einladungs”-Hoax ist eine Variante des altbekannten Hoax “A Virtual Card for You” und geistert schon seit einiger Zeit mit dem englischen Titel “Invitation” durchs Internet. Hoaxes werden nicht nur per Mail verbreitet- Sie kursieren auch in den Netzen diverser Instant Messenger wie ICQ und MSN. Selbst im internen Messenger-Dienst von “Second Life” sind bereits solche Falschmeldungen aufgetaucht, ebenso in Online-Communities wie StudiVZ. Es besteht somit keine Gefahr durch einen vermeintlichen Virus. Anwender, die eine solche Nachricht bekommen, sollten die Nachricht löschen und sich nicht an der Weiterverbreitung der Falschmeldung beteiligen.