von Alexander Gostev, Senior Viren Analytiker, Kaspersky Lab
Warum verzeichnen wir bereits über ein Jahr keine großen Mailwurm-Epidemien mehr? Was versteckt sich hinter den heutigen Würmern für ISQ-, AOL- und MSN-Messenger? Wodurch ist das qualitative und quantitative Anwachsen von Phishing-Attacken bedingt? Was hat sich seit der Veröffentlichung von Service Pack 2 für Windows XP verändert? Was ist Adware und Spyware, und warum wird in der letzten Zeit so viel darüber gesprochen? Die Quartalsanalyse von Kaspersky Lab liefert hier einige Antworten.
Instant Messenger Würmer
IM-Würmer sind Instant Messenger Würmer, die sich über Instant Messenger-Netzwerke verbreiten. Die bekannten Computerwürmer dieses Typs nutzen als einzigen Weg zu ihrer Selbstverbreitung Mitteilungen, die an Kontakte der Instant Messenger-Kontaktlisten versandt werden. Diese enthalten eine URL auf eine Datei, die sich auf einem beliebigen Webserver befindet.
Bemerkenswert für die Computer-Virologie im 1. Quartal 2005 ist das Auftauchen einer Vielzahl von Würmern, die zu ihrer Verbreitung die bekannten Netzwerke für das Versenden von Sofortnachrichten nutzten - die MSN- und AOL Messenger.
Wenn man die bisher im Jahr 2005 gefundenen IM-Würmer analysiert und die Daten in einer Tabelle auflistet, kann man einige wesentliche Schlüsse ziehen, die zu verstehen helfen, wie diese Klasse Schadprogramme tatsächlich agiert.
Aus der Tabelle ist ersichtlich, dass die Mehrheit der Würmer für ihre Verbreitung den MSN-Messenger benutzt, der in den USA sehr populär ist, in Russland zum Beispiel jedoch kaum eingesetzt wird. Alle Würmer (mit einer Ausnahme) sind in der Programmiersprache Visual Basic (VB) geschrieben.
Dies legt die Annahme nahe, dass wir derzeit die erste Entwicklungsphase dieser Klasse Schadprogramme beobachten. Die Verwendung von VB lässt auf geringe Programmier-Erfahrung der Wurmautoren schließen: die Sprache ist einfach zu erlernen, und ist nicht geeignet zum Erstellen von komplexen Programmen: Die ausführbaren Dateien wären viel zu groß und würden die Arbeitsgeschwindigkeit des Wurmes stark verringern.
Die deutliche Ausrichtung auf den MSN-Messenger zeugt davon, dass praktisch alle Würmer ähnlicher Machart nach dem Muster früherer Exemplare erstellt worden sind. Diese Schlussfolgerung wird durch eine umfangreiche Analyse des Codes der IM-Würmer durch das Virenlabor bei Kaspersky Lab bekräftigt.
Nachgewiesen ist, dass die Quellcodes einiger IM-Würmer teilweise im elektronischen Schriftverkehr der Virenschreiber veröffentlicht wurden. Genau diese Quellcodes waren die Grundlage für die meisten der später entdeckten IM-Würmer. Man kann mit 100prozentiger Sicherheit davon ausgehen, dass sich mit dem Entstehen dieser Klasse Viren gegenwärtig ausschließlich unerfahrene Programmierer beschäftigen (sogenannte Script Kiddies).
Diese Situation ist eine Wiederholung der Entstehungs- und Entwicklungsgeschichte der P2P-Würmer der Jahre 2003/2004. Zu Beginn ihrer Entwicklung waren die P2P-Würmer in der Programmiersprache Visual Basic geschrieben und nutzten zu ihrer Selbstverbreitung nur einen bekannten P2P-Client: Kazaa.
Aufgrund der Einfachheit derartiger Würmer und ihrer relativ hohen Verbreitungs-Geschwindigkeit entstanden gleich einige Hundert verschiedene P2P-Wurmfamilien. Die Hoch-Zeit der P2P-Würmer war im Jahr 2003, als wöchentlich etwa ein Dutzend neuer Varianten in Umlauf gebracht wurden.
P2P-Würmer im Kommen
Analysen von Kaspersky Lab zufolge zeigten, dass jede zweite Datei des FileSharing-Netzes Kazaa eine P2P-Wurmvariante war. Außerdem nutzten viele Mail- und Netzwürmer FileSharing-Netze als zusätzliches Verbreitungsmedium. 2004 jedoch flachte die rasante Entwicklung dieser Würmer ab, und gegenwärtig erfahren diese Schadprogramme einen Niedergang. Aller Wahrscheinlichkeit nach erwartet die IM-Würmer ein ganz ähnlicher Entwicklungs-Zyklus.
Interessant bei IM-Würmern zu beobachten ist, dass ihre Körper auf den zu attackierenden Computer geschickt werden. Ungeachtet der Fähigkeit aller Internet Messenger Netze, Dateien zu übermitteln, vermeiden die Wurmautoren diese Methode zum Eindringen in Systeme (oder sie verfügen einfach nicht über die nötigen Programmierkenntnisse). Anstelle dessen nutzen sie eine Methode, die 2004 bereits einige Mailwurm-Autoren einsetzten: die Versendung von Links auf speziell dafür präparierte Webseiten, auf denen sich das Schadprogramm selbst befindet. Da der Wurm die Links an die eigenen Kontakte des IM-Clients versendet, ist die Wahrscheinlichkeit hoch, dass der Empfänger auf die URL klickt, die sein vermeintlicher Bekannter ihm schickt. In diesem Moment gelangt der Wurm (über Exploits verschiedener Sicherheitslücken im Internet Explorer oder über direktes Laden und Starten aus dem Internet) in das System.
Wir empfehlen Systemadministratoren und Spezialisten aus dem Bereich IT-Sicherheit die gegenwärtig erhöhten Bedrohung von IM-Clients ernst zu nehmen und gegebenenfalls Sicherheitsregeln in die Unternehmens-Politik aufzunehmen, welche die Verwendung derartiger Programme unterbindet. Da die Würmer über Links in die Systeme eindringen, muss unbedingt der gesamte eingehende HTTP-Verkehr von einem Virenscanner überprüft werden.
Neben der Fähigkeit zur Selbstverbreitung ist die Mehrheit der IM-Würmer in der Lage, weitere Schadprogramme in das System zu installieren. So installiert der derzeit in vielen Varianten vertretene Wurm Bropia auf den Computer den Backdoor.Win32.Rbot und integriert den Rechner damit in ein Netz von Zombie-Maschinen, in ein so genanntes Botnetz (botnet).
Problem: Botnetze
Dieses Problem existiert bereits seit einigen Jahren: die ersten großen Netze infizierter Computer erschienen im Jahre 2002 auf dem "Untergrund-Schwarzmarkt". Mit der Zunahme der Zahl von Internet-Nutzern und dem Auffindens neuer kritischer Sicherheitslücken in Windows nahm die Zahl der zu Botnetzen verbundenen Computer entsprechend zu.
Der Begriff Botnetz wird gegenwärtig bei jedem analogen Netz angewandt, das zentral von den Übeltätern gesteuert wird. Ursprünglich wurden die infizierten Computer über einen IRC-Channel verbunden und erhielten Befehle über IRC von dem Autoren. Diese Art Steuerung ist auch jetzt noch stark verbreitet und wird von den zahlenmäßig am stärksten vertretenen Bot-Familien benutzt - Agobot, Rbot, SdBot. Sie alle verwenden für das Eindringen in das System Schwachstellen des Windows-Betriebssystems. In der Regel sind das Schwachstellen in den Sicherheitsdiensten RPC DCOM und LSASS, doch es gibt auch Bots, die Exploits für 8 und mehr Schwachstellen enthalten um diese gleichzeitig auszunutzen. Aktuelle Bots benutzen auch Passwort-Generierungs Algorithmen und Techniken um offene Netzwerkressourcen anzugreifen.
Die aktuelle Situation der Botnetze ist durch die Ereignisse von 2003 geprägt, insbesondere durch das Auffinden der Schwachstelle im Sicherheitsdienst RPC DCOM Windows 2000 und XP (über diese Schwachstelle verbreitete sich zum Beispiel der Wurm Lovesan, der weltweit viel Aufsehen erregte und Schaden anrichtete).
Botnetz: ein zentral von Übeltätern gesteuertes Netz
Einen weiteren herausragenden Beitrag in Sachen Entwicklung von "Zombie-Netzen" lieferte der Mailwurm Mydoom, der im Januar 2004 entdeckt wurde. Er öffnete auf der infizierten Maschine einen Port im Bereich 3127-3198 und ermöglichte dem Übeltäter den vollständigen Zugriff auf das System.
Außerdem war er in der Lage, beliebige Dateien aus dem Internet herunter zu laden und ausführbare Files zu starten. Der Zugriff auf den Backdoor erfolgte über eine 5byte-Kombination, die anderen Virenschreibern ziemlich schnell zugänglich war, und das Netz wurde regelrecht von Würmern überschwemmt, welche die von Mydoom infizierten Computer attackierten.
Hinzu entwickelten die Viren-Autoren Programm-Scanner, die es ihnen ermöglichten, eine Reihe von IP-Adressen im Netz auf die Infektion mit Mydoom hin zu scannen und dem infizierten Computer eine beliebige Datei zur Ausführung zu übermitteln. Die infizierten Rechner konnten auf diese Art und Weise einige Male pro Tag "von Hand zu Hand" gereicht werden, um früher oder später Bestandteil eines Botnetzes zu werden.
Dritter Meilenstein bei der Entwicklung der Botnetze wurde die im April 2004 aufgefundene kritische Windows-Schwachstelle, diesmal im lokalen Sicherheitsdienst LSASS.
Im Mai 2004 begann bereits die Epidemie von Wurm Sasser, der sich just über den Exploit dieser Schwachstelle verbreitete. Und erneut nutzten die Virenschreiber die durch Sasser infizierten Computer für ihre Zwecke.
Nach Einschätzung einer Reihe von IT-Sicherheits-Spezialisten steigt die Zahl der Computer, die einem beliebigen Botnetz angehören, gegenwärtig jeden Monat um etwa 300.000-350.000, und die Gesamtzahl der "Zombie-Maschinen" beträgt bereits mehrere Millionen.
Sie alle werden von den Cyberverbrechern mit dem Ziel der finanziellen Bereicherung eingesetzt - über sie wird Spam versandt, DoS-Attacken zu Erpressungszwecken gefahren, und es werden über sie neue Schadprogramm-Versionen versandt.
Insbesondere Botnetze stellen derzeit ein Hauptproblem und eine große Gefahr für die Sicherheit der Internet-Nutzer dar. Sie bilden praktisch den Boden für ständig neue Virus-Epidemien. Die Lösung des Botnetz-Problems sollte daher in der IT-Industrie Priorität eingeräumt werden. Denn von der erfolgreichen Beseitigung dieser Netzwerke hängt die Zukunft des Internets direkt ab.
Mailwürmer sterben ab
Bereits zu Beginn 2005 wurden die Prognosen einiger Antivirus-Experten bestätigt. Sie sagten das allmähliche Aussterben moderner Mailwürmer vorher, und dass sie den Staffelstab an verschiedene Netzwürmer mit Trojaner-Funktionen übergeben würden.
Nach den gigantischen Epidemien von 2004 (Mydoom, NetSky, Bagle und Zafi) beobachten wir gegenwärtig ein entgegengesetztes Szenario. 2005 haben wir praktisch nicht eine Mailwurm-Epidemie gesehen, die mit einer mittleren Epidemie des vergangenen Jahres zu vergleichen wäre.
Einerseits kann dies von den Erfolgen der Antivirus-Unternehmen im Kampf gegen Wurm-Epidemien zeugen: Im Laufe des vergangenen Jahres hat die Antivirus-Industrie einige neue Technologien zum Abfangen infizierter E-Mails hervorgebracht und Epidemien so bereits im frühen Entwicklungsstadium unterbinden können (beispielsweise durch das Erkennen von Würmer selbst in passwortgeschützten Archiv-Anhängen sowie durch die Analyse von E-Mails mit ausführbaren Datei-Anhängen und ähnliches).
Ruhe nach den gigantischen Epidemien von 2004
Aller Wahrscheinlichkeit nach erwarten uns in nächster Zukunft auch keine bedeutenden Epidemien von Mailwürmern mehr, die als Anhang an E-Mails versandt werden. Erstens sind die kritischen Schwachstellen in den am weitesten verbreiteten E-Mail-Clients Microsoft Outlook und Outlook Express längst gepatcht worden.
Zweitens zeigen die Aufklärungsarbeit durch Antivirus-Unternehmen und die Medien der letzten Jahre Erfolg: Die Anwender gehen weitaus bedächtiger vor, wenn sie E-Mail-Anhänge öffnen - besonders, wenn der Brief von unbekannten Absendern kommt. Für die Virenschreiber tritt nun das "Social Engineering" in den Vordergrund: Sie versuchen, E-Mails so interessant zu gestalten, dass der Anwender die angehängte Datei trotz aller Warnungen öffnet.
Social Engineering
Unter Social Engineering versteht man die Methode, Anwender durch die Übermittlung angeblich für ihn wichtiger Daten gezielt in die Irre zu führen. Dieses Phänomen tritt gegenwärtig in ein nächst höheres Entwicklungsstadium ein. Neue Vorgehensweisen wurden zwar bislang noch nicht entwickelt, aber die alten und bewährten werden in erschreckenden Ausmaßen eingesetzt. Bestes Beispiel hierfür sind die derzeit jedem bekannten Phishing-Attacken.
Unter Phishing versteht man Online-Betrug mit dem Ziel, persönliche Daten von Internet-Nutzern zu erhalten. Die "Phisher" versenden dazu E-Mails im Namen bekannter Marken (meist Banken), die Links auf gefälschte Webseiten enthalten. Ist der User auf einer solchen Webseite gelandet, versuchen die Phisher ihm wertvolle Informationen zu entlocken - beispielsweise die Nummer seiner Kreditkarte - indem sie ihn einfach danach fragen.
Forschungen der Antiphishing Working Group zufolge versanden Phishing-Organisatoren alleine im Januar dieses Jahres 12.845 E-Mails mit Links auf 2.560 verschiedene gefälschte Webseiten.
Die Aktivität der Online-Betrüger wuchs im Vergleich zum Dezember 2004 um 47 Prozent (1.740 gefälschte Webseiten wurden damals gefunden) und fast um das Doppelte im Vergleich zum Oktober 2004 (mit 1.186 gefälschten Webseiten, die aufgefunden wurden). Die Zahl der E-Mails mit der Aufforderung, die gefälschten Webseiten zu besuchen, wuchs im Vergleich zum Dezember 2004 um 42 Prozent.
Der größten Gefahr sind die Kunden bekannter Banken und Finanzdienstleister oder Online-Auktionssplattformen ausgesetzt, wie zum Beispiel Citibank, Ebay, Paypal, E-Gold und die US-Bank.
Auch bei phishing-Attacken werden die E-Mails über die bereits beschriebenen Botnetze versand. Außerdem werden über sie ständig Trojaner-Programme verschickt, die für den Diebstahl von Bankdaten der Anwender eingesetzt werden. Die größte Aktivität zeigen dabei brasilianische Cyberverbrecher. Trojaner-Programme, die auf den Diebstahl persönlicher Daten abzielen, bilden die zahlenmäßig größte Gruppe innerhalb dieser Art Schadprogramme.
Adware-Hersteller "entdecken" Spyware
Eine Unterart des Social Engineering stellt die durch die Medien und IT-Industrie hochstilisierte Problematik "Spyware" dar. Darunter verstehen Marketing-Personen Programme, die Computer nach Daten ausspionieren. In Wirklichkeit sind diese Programme aber lediglich Subsets von Computerviren und Trojanern, die jedes bessere Anti-Virus-Produkt auffindet.
Buchstäblich mit Erscheinen der kostenlosen Utility AntiSpyware von Microsoft haben Viren-Autoren Schadprogramme ins Netz gestellt, die sich als neue, verbesserte Version von MS AntiSpyware ausgaben. Auch einige Hersteller von Adware-Programmen widmeten sich dem Thema Spyware, und natürlich erst recht die geldwitternden Cyberkriminellen.
Kaspersky Lab registrierte außerdem eine deutliche Zunahme des Spam-Versands über den Windows Messenger -Service. Diese Art Spam gelangt über das Messenger-ServiceProtokoll auf den Computer und sieht wie gewöhnliche Mitteilungs-Fenster des Betriebssystems aus.
Diese Nachrichten "informieren" in der Regel darüber, dass auf dem Computer Spyware-Programme gefunden wurden und empfehlen dem Anwender, eine bestimmte Webseite zu besuchen, um ein kostenloses Anti-Spyware-Programm herunter zu laden. Bei diesen Programmen handelt es sich jedoch um Trojaner, keine Viren entfernen, sondern vielmehr selbst zum Zwecke der Spionage eingesetzt werden.
Nichts bleibt von Kriminellen ungenutzt - selbst wenn es sich um solch gewaltige Katastrophen wie der Dezember-Tsunami in Südost-Asien handelt, der Hunderttausenden das Leben gekostet hat. Selbst dieses Thema machten sich Cyber-Verbrecher zueigen, indem sie Viren in vorgetäuschte Hilfs- und Spendenaufrufe einschleusten und damit Bankinformationen stahlen. Auch in Tsunami-Fotos und Berichten über die Anzahl der Opfer wurden Trojaner-Programme registriert.
Adware und Viren - wo ist die Grenze?
Adware ist neben Spyware ein weiterer moderner Begriff im Bereich IT-Sicherheit. Die Grenze zwischen "harmlosen" Reklame-Programmen (Adware) und vollwertigen Schadprogrammen ist praktisch fließend. Immer häufiger enthalten Programme dieser Klasse Trojaner-Merkmale.
Das kann man an der Art der Installation in das System erkennen (zum Beispiel über Schwachstellen in Browsern) sowie am Verhalten auf dem Anwender-PC. Diese Programme tarnen sich und machen ihre Deinstallation aus dem System so schwer als möglich.
Sie suchen und entfernen Konkurrenz-Programme und nehmen deren Platz ein. Sie können Module enthalten, die Informationen über besuchte Webseiten und eingegebene Daten der Computer-Eigentümer speichern und diese an Dritte weiterleiten. All dies beobachteten Sicherheitsexperten bereits 2004.
2005 kam uns eine neue Art dieser Programme hinzu, die als klassische Viren analysiert wurden. "Altmodische" Viren, die Dateien infizieren und deren Zeit, wie man annahm, bereits im vergangenen Jahrhundert abgeschlossen war, feierten als Reklame-Programme ihr Comeback.
Der Virus Win32.Bube, zum Beispiel, wird beim Besuch von Webseiten auf den Computer geladen, die Exploits der Sicherheitslücken im Internet Explorer enthalten (MHTML URL Processing Vulnerability) oder in der Microsoft Virtual Machine (Flaw in Microsoft VM). Nach dem Eindringen in das System infiziert der Virus die Datei Explorer.exe und verwendet sie dann als Trojan-Downloader, um andere Programme der Klasse Adware auf den Computer zu installieren. Die Infektion des Standard-Windows Explorer ermöglicht es ihm, verschiedene Firewalls zu umgehen.
Heute ist es nicht mehr möglich, eine starre Grenze zwischen Adware (Reklame-Programmen) und Malware (Schadprogrammen) zu ziehen, was eine gewisse Skepsis gegenüber gewissen Programmen aufkommen lässt, die ausschließlich Adware suchen und entfernen und nicht das gesamte Spektrum an Schadprogrammen erkennen.
Keine neuen kritischen Windows-Schwachstellen
Die eingetretene Ruhe an der Virusfront zu Beginn 2005 ist in bedeutendem Maße Microsoft zuzuschreiben, in dessen Produkten keine weiteren Sicherheitslücken aufgefunden wurden, die vergleichbar mit den Sicherheitslücken in den Diensten RPC DCOM oder LSASS wären.
Die letzte derartige Bedrohung war eine Schwachstelle im WINS-Server NetBIOS für das Windows Betriebssystem, aufgefunden am 26. November vergangenen Jahres und geschlossen durch ein Patch von Microsoft am 30. November.
Trotz der relativ gefährlichen Schwachstellen in Windows, die zu Beginn 2005 aufgefunden wurden (Vulnerability in Cursor and Icon Format Handling, Windows Kernel Vulnerability, Vulnerability in PNG Processing, Vulnerability in Hyperlink Object Library), hat nicht eine von ihnen eine globale Epidemie ausgelöst. Sie alle waren zwar in das eine oder andere Virenaufkommen verwickelt, wurden jedoch ausschließlich zum Einschleusen von Spionage-Programmen verwendet.
Experten von Kaspersky Lab zufolge ist die gegenwärtig für das Einschleusen von Schadcode am häufigsten verwendete Sicherheitslücke im Browser des Internet Explorer zu finden: (CAN-2004-0380).
Die Schwachstelle liegt in den Dateien des CHM Formates (Microsoft Compiled Help). Deren Links sind im Internet vorhanden und enthalten ausführbare Skripte der Sprachen VB-Script und J-Script. Beim Öffnen derartiger CHM-Dateien werden diese auf den zu attackierenden Systemen in der Local Internet Zone mit den Rechten des aktuellen Anwenders ausgeführt.
In der Regel gehören diese Skripte in der Klasse Trojaner-Programme zu den Trojan-Downloader oder Trojan-Dropper. Ziel dieser Skripte ist die Installation des Trojaner-Programmes auf dem attakierten System. Bemerkung: Diese Schwachstelle wurde von Microsoft selbst am 13. April 2004 gepatcht (MS04-013).
Man kann zusammenfassen, dass in den ersten Monaten des laufenden Jahres das Fehlen neuer kritischer Schwachpunkte in Windows und die immer stärkere Verbreitung von Windows XP SP 2 wesentliche Faktoren für die Abwehr globaler Epidemien waren.
Bedrohung der Nutzer von Online-Spielen
Neben dem Online-Diebstahl von Bank- und Zahlungsdaten sehen Virenschreiber eine neue Herausforderung bei Internet-Spielen. Der Markt für Internet-Spiele, der mit dem 1997 erschienenen Spiel MMORPG Ultima Online entstand, erlebt momentan eine Blütezeit und entwickelt sich aktiv weiter.
Auf Internet-Auktionen werden virtuelle Gegenstände oder Personen aus Internet-Spielen verkauft und können mitunter einige Tausend - nicht-virtuelle - Dollar kosten. Bekannt ist, beispielsweise, dass eine "virtuelle Insel" aus einem solchen Spiel für 26 500 Dollar verkauft wurde.
Insgesamt zirkulieren in und um Internet-Spielen bereits einige Milliarden Dollar. Diese Tatsache ließ Cyber-Räubern selbstverständlich keine Ruhe. Erste Opfer von Cyberkriminellen waren die Spieler des in Asien weit verbreiteten Games "Legend of Mir" (gegenwärtig zählt das Spiel mehr als drei Millionen Fans, hauptsächlich aus Südkorea).
Anfang 2003 erschienen die ersten Trojaner-Programme, die die statistischen Eintragungen in den Spieler-Accounts raubten. Bis heute sind bereits 700 verschiedene Spionage-Programme bekannt, die die Spieler von "Legend of Mir" attackieren. Eine Analyse bestätigt, dass die Mehrzahl von ihnen in Südkorea und China entwickelt wurden.
Ein weiteres beliebtes und dadurch gefährdetes online-Spiel aus Korea ist "Lineage". Die ersten Trojaner für dieses Spiel wurden vor im Oktober 2004 entdeckt, mittlerweile übersteigt die Zahl der Modifikationen bereits 100.
Von den "frisch gebackenen" Spiele-Spionen lohnt es sich, eine Klasse Trojaner-Programme zu erwähnen, die persönliche Daten aus dem Spiel Gamania stehlen. Der erste wurde im Februar 2005 gefunden. Seitdem erscheinen wöchentlich neue Varianten.
Auch russische Virenschreiber sind beim Datenklau in Spielen mit von der Partie. Sie haben das bekannte russische Spiel "Klub der Kämpfer" als Zielscheibe, in dem die Kosten einiger Gegenstände Tausend Dollar übersteigen.
Hier lässt sich abschließend feststellen, dass die Popularität der Online-Spiele und die darin verwickelte Geldmenge immens wächst und entsprechend steigt natürlich das Interesse der Übeltäter.
Tendenzen aus 2004 setzen sich fort
Ereignisse des ersten Quartals 2005 bestätigen eine Reihe der bereits abgegebenen Prognosen. Im Einzelnen ist die Tendenz des allmählichen Aussterbens der Mailwürmer Realität geworden. Mailwürmer werden von den Netzwürmern und den Instant Messenger-Würmern abgelöst. Denn die Instant Messenger Netze sind weitaus schlechter geschützt, als die modernen Mail-Systeme.
Während also die IM-Würmer ihre ersten Schritte machen, und das mometane "Fehlen" neuer, bedeutender Schwachstellen in Windows das Auftauchen gefährlicher Netzwürmer verhindert, traten Symptome in den Vordergrund, die in der Vergangenheit als weniger kritisch eingestuft wurden: Phishing, Konvergenz-Viren und Reklame-Programme, der Kampf mit Botnetzen und Schadprogrammen für mobile Geräte - Pocket PC und Smartphones. (rw)