Der zweite Teil des Kaspersky Lab-Berichts über die IT-Bedrohungen im zweiten Quartal 2005 handelt von neuartigen Hackerattacken, von aggressiven Würmen und Viren, von unerwünschter Werbesoftware und von zu spät entdeckter Spyware.
Von Alexander Gostev, Senior Viren-Analytiker beim Kaspersky Lab
Hacker-Attacken
Das Einschleusen von Trojanern in die Netze von Banken oder Regierungsstrukturen ist nach wie vor das Werk von Profis. Neben diesen existiert außerdem ein riesiges Heer von Virenprogrammierern, die sich mit so genannten Botnets und dem Raub von Daten "für den Hausgebrauch" beschäftigen.
Ungeachtet aller Hindernisse, die sich dem Versand von Trojanern in den Weg stellen, geben sie sich diese Hacker dennoch mit lokal relativ begrenzten Epidemien zufrieden und zielen auf die am wenigsten geschützten Internetnutzer ab - auf diejenigen nämlich, die kein Antivirenprogramm nutzen oder ihr System nicht regelmäßig aktualisieren.
Die Infizierung per E-Mail gestaltet sich aufgrund der mittlerweile gut geschützten Systeme problematisch und bringt zudem finanzielle Nachteile mit sich. Aber auch das "Fehlen" kritischer Sicherheitslücken in Windows, die für das Erstellen von Würmern von Vorteil wären, stellt einen Hemmfaktor dar, und es wird nach neuen Infizierungswegen gesucht.
Beliebteste Sicherheitslücke: MHTML URL Processing Vulnerability
Weitere Gefahren entstammten den weiterhin angreifbaren Versionen viel genutzter Browser. In dem vergangenen halben Jahr hat sich die Situation nicht verändert: Die "MHTML URL Processing Vulnerability" ist und bleibt die unter Virenautoren beliebteste Sicherheitslücke. Aber das ist nur die eine Seite der Medaille. Damit die Nutzer überhaupt in diese Falle, sprich Sicherheitslücke, tappen können, müssen sie zunächst irgendwie auf eine unsichere Website gelockt werden.
Um dieses Ziel zu erreichen, gibt es zwei Möglichkeiten: Zum einen kann man eine spezielle Site auf einem beliebigen Hosting-Server programmieren, wo die verseuchte Seite online gestellt wird. Die Nutzer werden nun per Spam zum Besuch der betreffenden Websit aufgefordert.
Der Versand kann auch mit Hilfe anderer Kommunikationsmittel erfolgen - zum Beispiel durch einen Instant Messenger. Das ist der älteste und meist erprobte Weg. In der Praxis können diese Seiten nur sehr kurze Zeit existieren und werden vom Hoster gesperrt, sobald Anfragen von Unternehmen für Antivirensoftware oder von Justizorganen kommen.
Hauptangriffsziel: PHP gesteuerte Websites
Eine zweite, relativ neue Möglichkeit basiert darauf, irgendeine mehr oder weniger beliebte Seite zu hacken, wobei der Beliebtheitsgrad hierbei keine unwesentliche Rolle spielt. Dann müssen auch nicht eigens Spam-Mails mit der Aufforderung zum Besuch einer Seite verschickt werden, da diese Website ohnehin regelmäßig aufgerufen wird.
Hauptangriffsziel sind Sites in einem der am meisten genutzten PHP-Formate, wie PhpBB, PhpNuke, oder WorldPress. Ein Grund hierfür sind die immer wieder neu auftauchende Sicherheitslücken in den genannten Produkten, die es den Tätern ermöglichen, auf den verschiedenen Seiten einer Website die erforderlichen Skripte abzulegen.
Wie leicht und wie schnell man Dutzende oder Hunderte solcher Sites hacken kann, hat der Wurm "Santy" im Dezember 2004 anschaulich demonstriert. Zwischen dem Vorgehen der Straftäter beim Hacken und der Vorgehensweise dieses Wurms besteht praktisch kein Unterschied.
Die Infizierung des Computers des Website-Betreibers beziehungsweise des Serverproviders eröffnet Trojaner-Programmierern eine weitere Tür, da auf diese Weise der Weg zum Steuerungs-Account der betreffenden Site frei wird.
Als Beispiele für die oben beschriebenen Methoden dienen eine ganze Reihe von Hackerangriffen auf Websites im PHP-Format, welche sich in diesem Jahr im russischen Teil des Internets ereignet haben. In der Regel bestand das Ziel der Täter letztendlich in der Installation des Spionagetrojaners "LdPinch" auf den Rechnern der Nutzer.
Besonders hinzuweisen ist hier auf das Eindringen von Hackern in den Server von MSN Korea Ende Mai 2005. Nach Einschätzung von Experten lag zwischen dem Zeitpunkt des Eindringens und dem Auffinden des Trojaners auf dem Server ein Zeitraum von etwa fünf Tagen. In dieser ganzen Zeit bestand für jeden Besucher der Seite die Gefahr sich den Trojaner einzufangen und tatsächlich kam es zu mehreren Tausend Infizierungen.
Auch das hierfür benutzte Programm war bekannt. Es war ein aktuelles Spionageprogramm, mit dem der Nutzer-Account für das beliebte Online-Spiel "LineAge" geraubt wurde.
Illegale Werbeverfahren
Adware wächst und gedeiht weiterhin. Die hohe Geschwindigkeit dieser Entwicklung und die daraus resultierende Formenvielfalt sind in der heutigen Computerwelt einzigartig. Nachdem die Evolution von Adware vor wenigen Jahren damit begann, dass sehr einfachen Skripte zahlreiche zusätzliche Fenster im Browser öffneten, wurde jetzt die Grenze zwischen unerwünschter, aber dennoch legaler Software und Schadprogrammen endgültig überschritten.
Eine Reihe von AdWare nutzt bereits tatkräftig Virentechnologien wie Sicherheitslücken in Browsern, Rootkits, die Aufzeichnung des eigenen Codes in Systemdateien, Änderungen von Systemanwendungen oder die Modifikation von Nutzerdateien und vieles mehr, um in das System einzudringen und sich dort zu verbergen.
Zieht man den Marktumfang im Bereich der Internetwerbung in Betracht, so verwundert diese Entwicklung nicht. Laut Schätzungen umfasst er mehrere Milliarden Dollar und - was überaus wichtig ist - es gibt auf diesem Markt eine Vielzahl miteinander konkurrierender Werbefirmen. Diese sind bestrebt, die Nachfrage mit allen erdenklichen Mitteln zu erfüllen, und ihre Werbung so häufig wie möglich einer möglichst großen Zahl von Nutzern zu präsentieren.
Im Juni 2005 wurde ein Werbeprogramm entdeckt, das sich mit Hilfe eines Rootkit-Treibers im System versteckt hatte. Bisher war das nur bei verschiedenen Backdoors möglich. Diese Entwicklung ist sehr Besorgnis erregend. In einer ganzen Reihe der beliebten modernen Antivirenprogramme fehlen noch die Möglichkeiten zum Auffinden und Löschen von Rootkits in den Windows-Systemen.
Ebenso wenig verfügen die nun überall wie Pilze aus dem Boden schießenden "Anti-Adware/-Spyware"-Lösungen über solche Methoden. Zum Auffinden eines Rootkits im System ist eine multifunktionelle Antivirus-Lösung erforderlich, die mit einem Rechensystem bereits auf niedrigstem Niveau zu arbeiten in der Lage ist, und alle Funktionen des Systems kontrolliert.
Insgesamt wird die AdWare-Situation mehr und mehr zu einem für die Konfrontation zwischen Virus und Antivirus typischen Kampf "mit Schwert und Schild". Je stärker und massiver der Kampf gegen Adware ist, umso aggressiver und illegaler wird die Bereitstellung von Werbeinhalten auf den Computern der Nutzer. Wahrscheinlich kann das Problem nicht allein durch die Unternehmen für Antivirensoftware und Unternehmen, die sich auf die Bekämpfung von Adware spezialisiert haben, gelöst werden. Vielmehr ist ein Dialog zwischen den Auftraggebern und Auftragnehmern von Werbung notwendig. Man darf nicht vergessen, dass viele Internetprojekte ausgerechnet von Werbung leben, außerdem ist das Internet selbst in vielen Bereichen gerade von denen abhängig, die für Werbung zahlen. Andererseits haben wir eine stetige Zunahme des Konflikts zu erwarten.
Das Comeback von Virentechnologien
Im Verlauf der letzten drei bis vier Jahre verschwanden die herkömmlichen Virendateien praktisch vollständig. Ein so langer Viren freier Zeitraum schien vom Ende dieser Art von Schadprogrammen zu zeugen. In all den Jahren tauchte nicht ein Virus auf, der - da er nicht über die Funktionen eines Wurmes verfügte - in der Lage gewesen wäre, eine auch nur geringfügig spürbare Virenepidemie zu verursachen.
Autoren von Schadprogrammen sind auf das Programmieren von Trojanern und Würmern umgestiegen, denn diese bieten eine nicht nur schnellere, sondern obendrein auch eine einfachere Möglichkeit, Daten zu verseuchen oder zu stehlen.
Denn die Programmierung eines Dateivirus, der einwandfrei funktioniert und fähig ist, Dateien in verschiedenen Windows-Versionen zu infizieren, erfordert ein hohes Maß an Kenntnissen und Erfahrungen auf dem Gebiet der Programmierung. Ein weiteres unabdingbares Attribut sind auch verschiedene polymorphe Prozesse, die wiederum Kenntnisse im Bereich der Kryptographie und verschiedener Verschlüsselungsalgorithmen erfordern.
Auch wenn in den vergangenen Jahren keine nennenswerten neuen Viren aufgetreten sind, so befinden sich auf den Rechnern der Nutzer weiterhin verschiedene Viren, die schon viel früher programmiert wurden und sich immer noch weltweit ausbreiten. Man kann sie zwar an einer Hand abzählen, aber dennoch sind sie früher wie heute durchaus verbreitet.
Die Techniken der Virenprogrammierung bestehen also nach wie vor, doch anscheinend werden sie nicht mehr genutzt. Allerdings konnte es auch nicht ewig so weitergehen.
Internet Explorer agiert als Trojaner-Downloader
Täter, die sich dem ständigen Widerstand der Unternehmen für Antivirensoftware gegenüber sehen, sind gezwungen, nach neuen Möglichkeiten zu suchen, in Systeme einzudringen und - was nicht weniger wichtig ist - sich dort zu verbergen. Eine solche "moderne" Methode sind die Rootkits und eine weitere ist das Einschleusen des eigenen Codes in Systemdateien.
So hängte beispielsweise der Virus "Win32.Bube" seinen eigenen Code an die Datei Explorer.exe an. Als Folge wurde dem Programm die Steuerung überlassen und der IE (Internet Explorer) übernahm beim Start die Funktion eines Trojaner-Downloaders. Die meisten modernen Firewalls sind nicht in der Lage, ein solches Verhalten des Internetexplorers zu analysieren und zu stoppen.
Juni 2005: Adware, die sich mit Hilfe eines Rootkit-Treibers im System versteckt
Der Grundgedanke dieser Methode wurde nicht nur von Antivirenspezialisten, sondern auch von anderen Virenprogrammierern bemerkt und bewertet. So kam Anfang 2005 eine besondere Form von Backdoors auf. Sie alle stellten sich selbst als irgendeine legale Datei oder Utility dar, zum Beispiel winrar.exe, die den Code eines Trojaners enthielt.
Der Code dieses Trojaners wurde an eine herkömmliche Datei nach der Methode der EPO-Viren angehängt und übernahm entsprechend dem Unterprogramm, das in der Hauptdatei aufgerufen wurde, die Steuerung. Alle diese EPO-Backdoors sind praktisch Varianten der verbreiteten Bots "Agobot", "Rbot" oder "SdBot". Aller Wahrscheinlichkeit nach wurden solche Dateien (legale Datei + Backdoor) mit Hilfe eines der speziellen Erstellungsprogramme geschrieben.
Im Mai und im Juni 2005 fand eine weitere Entwicklung bezüglich des Einschleusens von Trojaner-Codes in Systemdateien statt. Es handelte sich hierbei um einen ganzen Komplex von Schadprogrammen. Die Hauptrolle des Infizierers spielt der Trojaner-Downloader "Win32.Agent.ns".
Beim Befall des Systems lädt er nicht nur andere Trojanerprogramme nach, sondern er verseucht auch die Systembibliothek wininet.dll. Hier wird eine kleine Funktion hinzugefügt, die im Weiteren jeden Zugriff auf die genannte Bibliothek verhindert. Das geschieht ständig während der Arbeit im Internet und so versucht der Trojaner, ständig weitere schädliche Programme auf den Rechner zu laden. Auf diese Weise wird wininet.dll selbst zu einem Virus, also zu einem Programm, das mit einem fremden Code verseucht ist.
Man könnte sagen, dass in diesem Fall ein herkömmlicher Trojaner als Virus bezeichnet wird, denn die verseuchten Dateien explorer.exe oder wininet.dll selbst verseuchen keine weiteren Dateien mehr im System. Tatsächlich passt der herkömmliche Begriff "Virus" nicht ganz zu den beschriebenen Fällen.
Neue Virenarten tauchen auf
Hier haben wir es mit einer völlig neuen Klasse von schädlichen Programmen zu tun, die herkömmliche Virenmethoden zum Einschleusen eines Codes in das Innere anderer Programme nutzen. Der einzige Unterschied besteht darin, dass dieser Code sich nicht selbsttätig vervielfältigt.
Dennoch neigten Experten bislang dazu, es neben dem Overwriting- und dem Companion-Virus als eine Virus-Unterart zu bezeichnen. Sollten in nächster Zukunft weitere solcher Viren auftauchen, und diese Annahme ist durchaus berechtigt, dann ist eine Unterteilung analoger Viren in unterschiedliche Familien möglich.
Für die Nutzer wird es zumindest wichtig, nicht nur die neuen, sondern auch die alten, bereits überprüften und bekannten Dateien nochmals zu kontrollieren. Denn es ist nicht ausgeschlossen, dass eine dieser Dateien Opfer eines neuen "Injektors" wird. Neben der Überprüfung der Dateigröße ist auch die Überprüfung des Dateiinhalts notwendig, da Viren die Größe einer verseuchten Datei nicht verändern können. So wächst also die Notwendigkeit für so genannte Dateiprüfprogramme. (rw)