Nichts bleibt von Kriminellen ungenutzt - selbst wenn es sich um solch gewaltige Katastrophen wie der Dezember-Tsunami in Südost-Asien handelt, der Hunderttausenden das Leben gekostet hat. Selbst dieses Thema machten sich Cyber-Verbrecher zueigen, indem sie Viren in vorgetäuschte Hilfs- und Spendenaufrufe einschleusten und damit Bankinformationen stahlen. Auch in Tsunami-Fotos und Berichten über die Anzahl der Opfer wurden Trojaner-Programme registriert.
Adware und Viren - wo ist die Grenze?
Adware ist neben Spyware ein weiterer moderner Begriff im Bereich IT-Sicherheit. Die Grenze zwischen "harmlosen" Reklame-Programmen (Adware) und vollwertigen Schadprogrammen ist praktisch fließend. Immer häufiger enthalten Programme dieser Klasse Trojaner-Merkmale.
Das kann man an der Art der Installation in das System erkennen (zum Beispiel über Schwachstellen in Browsern) sowie am Verhalten auf dem Anwender-PC. Diese Programme tarnen sich und machen ihre Deinstallation aus dem System so schwer als möglich.
Sie suchen und entfernen Konkurrenz-Programme und nehmen deren Platz ein. Sie können Module enthalten, die Informationen über besuchte Webseiten und eingegebene Daten der Computer-Eigentümer speichern und diese an Dritte weiterleiten. All dies beobachteten Sicherheitsexperten bereits 2004.
2005 kam uns eine neue Art dieser Programme hinzu, die als klassische Viren analysiert wurden. "Altmodische" Viren, die Dateien infizieren und deren Zeit, wie man annahm, bereits im vergangenen Jahrhundert abgeschlossen war, feierten als Reklame-Programme ihr Comeback.
Der Virus Win32.Bube, zum Beispiel, wird beim Besuch von Webseiten auf den Computer geladen, die Exploits der Sicherheitslücken im Internet Explorer enthalten (MHTML URL Processing Vulnerability) oder in der Microsoft Virtual Machine (Flaw in Microsoft VM). Nach dem Eindringen in das System infiziert der Virus die Datei Explorer.exe und verwendet sie dann als Trojan-Downloader, um andere Programme der Klasse Adware auf den Computer zu installieren. Die Infektion des Standard-Windows Explorer ermöglicht es ihm, verschiedene Firewalls zu umgehen.
Heute ist es nicht mehr möglich, eine starre Grenze zwischen Adware (Reklame-Programmen) und Malware (Schadprogrammen) zu ziehen, was eine gewisse Skepsis gegenüber gewissen Programmen aufkommen lässt, die ausschließlich Adware suchen und entfernen und nicht das gesamte Spektrum an Schadprogrammen erkennen.
Keine neuen kritischen Windows-Schwachstellen
Die eingetretene Ruhe an der Virusfront zu Beginn 2005 ist in bedeutendem Maße Microsoft zuzuschreiben, in dessen Produkten keine weiteren Sicherheitslücken aufgefunden wurden, die vergleichbar mit den Sicherheitslücken in den Diensten RPC DCOM oder LSASS wären.
Die letzte derartige Bedrohung war eine Schwachstelle im WINS-Server NetBIOS für das Windows Betriebssystem, aufgefunden am 26. November vergangenen Jahres und geschlossen durch ein Patch von Microsoft am 30. November.
Trotz der relativ gefährlichen Schwachstellen in Windows, die zu Beginn 2005 aufgefunden wurden (Vulnerability in Cursor and Icon Format Handling, Windows Kernel Vulnerability, Vulnerability in PNG Processing, Vulnerability in Hyperlink Object Library), hat nicht eine von ihnen eine globale Epidemie ausgelöst. Sie alle waren zwar in das eine oder andere Virenaufkommen verwickelt, wurden jedoch ausschließlich zum Einschleusen von Spionage-Programmen verwendet.
Experten von Kaspersky Lab zufolge ist die gegenwärtig für das Einschleusen von Schadcode am häufigsten verwendete Sicherheitslücke im Browser des Internet Explorer zu finden: (CAN-2004-0380).
Die Schwachstelle liegt in den Dateien des CHM Formates (Microsoft Compiled Help). Deren Links sind im Internet vorhanden und enthalten ausführbare Skripte der Sprachen VB-Script und J-Script. Beim Öffnen derartiger CHM-Dateien werden diese auf den zu attackierenden Systemen in der Local Internet Zone mit den Rechten des aktuellen Anwenders ausgeführt.
In der Regel gehören diese Skripte in der Klasse Trojaner-Programme zu den Trojan-Downloader oder Trojan-Dropper. Ziel dieser Skripte ist die Installation des Trojaner-Programmes auf dem attakierten System. Bemerkung: Diese Schwachstelle wurde von Microsoft selbst am 13. April 2004 gepatcht (MS04-013).